Érintett rendszerek
Internet ExplorerMicrosoft
Érintett verziók
Microsoft Internet Explorer 5.01 SP4, 6, 6 SP1, 7, 8
Összefoglaló
A Microsoft Internet Explorer olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting támadásokat indíthatnak vagy feltörhetik a felhasználói rendszert.
Leírás
A Microsoft Internet Explorer olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók cross-site scripting támadásokat indíthatnak vagy feltörhetik a felhasználói rendszert.
-
A “toStaticHTML()” eljárásban HTML kód ellenőrzésekor fellépő hiba kihasználható cross-site scripting támadások indítására és bizalmas adatok felfedésére.
A hiba sikeres kihasználásához egy “toStaticHTML” API-t használó weboldal szükséges.
Ez a sérülékenység csak az Internet Explorer 8 “Quirk” megjelenítési módját érinti. - Egy helytelenül inicializált vagy már törölt objektum elérésekor jelentkező hibát ki lehet használni a memória megváltoztatására, ha pl. a felhasználó meglátogat egy speciálisan megszerkesztett weboldalt.
- Két helytelenül inicializált vagy vagy már az IE8 Developer Toolbar-ban törölt objektum elérésekor jelentkező hibát ki lehet használni a memória megváltoztatására, ha például a felhasználó meglátogat egy speciálisan megszerkesztett weboldalt és megnyomja az F12 billentyűt egy megjelenő üzenetre.
- A CStyleSheet implementáció egy felszabadítás utáni használatból eredő hibáját kihasználva egy helytelen mutató használatát lehet előidézni, ha a stíluslap egy markupba nem tartozó elem tagja.
A 2.-tól a 4. sérülékenységig a sikeres kihasználás tetszőleges kód futtatását teszi lehetővé.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 40062
CVE-2010-1259 - NVD CVE-2010-1259
CVE-2010-1260 - NVD CVE-2010-1260
CVE-2010-1261 - NVD CVE-2010-1261
CVE-2010-1257 - NVD CVE-2010-1257
Gyártói referencia: www.microsoft.com
CVE-2010-1262 - NVD CVE-2010-1262
SECUNIA 39603