Microsoft Windows HTML Help ActiveX vezérlő cross-domain sérülékenység

CH azonosító

CH-26

Felfedezés dátuma

2005.01.11.

Súlyosság

Közepes

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.0 SP1

Összefoglaló

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet, ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával.

Leírás

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával. A HTML Help vezérlőt egy betöltött HTML dokumentum tudja elindítani egy olyan programban, ami MSHTML-t használ, pl. Internet Explorer.

A Microsoft Windows HTML Help ActiveX vezérlő (hhctrl.ocx) nem állapítja meg helyesen a forrást ha a Related Topics az új ablakot azonos ablaknévvel hozza létre. Ez a cross-domain sérülékenység lehetővé teszi, hogy a támadó tartalmat olvasson vagy módosítson, vagy scriptet futtasson egy másik tartományban, beleértve a Local Machine Zone-t.

Ha a felhasználó megnyitegy különlegesen kialakított HTML dokumentumot (pl. weboldatl vagy HTML e-mailt), akkor a támadó tetszőleges kódot futtathat a felhasználó jogosultságával.

A bejelentések alapján a sérülékenységet a Phel nevű kártékony szoftver használja ki.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »