Microsoft Windows HTML Help ActiveX vezérlő cross-domain sérülékenység

CH azonosító

CH-26

Felfedezés dátuma

2005.01.11.

Súlyosság

Közepes

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.0 SP1

Összefoglaló

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet, ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával.

Leírás

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával. A HTML Help vezérlőt egy betöltött HTML dokumentum tudja elindítani egy olyan programban, ami MSHTML-t használ, pl. Internet Explorer.

A Microsoft Windows HTML Help ActiveX vezérlő (hhctrl.ocx) nem állapítja meg helyesen a forrást ha a Related Topics az új ablakot azonos ablaknévvel hozza létre. Ez a cross-domain sérülékenység lehetővé teszi, hogy a támadó tartalmat olvasson vagy módosítson, vagy scriptet futtasson egy másik tartományban, beleértve a Local Machine Zone-t.

Ha a felhasználó megnyitegy különlegesen kialakított HTML dokumentumot (pl. weboldatl vagy HTML e-mailt), akkor a támadó tetszőleges kódot futtathat a felhasználó jogosultságával.

A bejelentések alapján a sérülékenységet a Phel nevű kártékony szoftver használja ki.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »