Az Internet Explorer MHTML protokoll kezelő tartományon keresztüli információ szerzési sebezhetősége


2008. augusztus 12. 22:00

CH azonosító

CH-1476

Felfedezés dátuma

2008.08.12.

Súlyosság

Közepes

Érintett rendszerek

Internet Explorer
Microsoft
Outlook Express
Windows Mail

Érintett verziók

Microsoft Outlook Express 5.5, 6.1
Microsoft Windows Mail
Microsoft Internet Explorer 5.01, 6.x, 7.x

Összefoglaló

Az Internet Explorer egy sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók érzékeny információkat szerezhetnek meg.

Leírás

Az Internet Explorer egy sérülékenységét jelentették, melyet kihasználva rosszindulatú támadók érzékeny információkat szerezhetnek meg.

A sérülékenységet egy hiba okozza az MHTML protokoll kezelőben, az MHTML URI átirányítások értelmezésekor. Ez kihasználható az Internet Explorer tartomány korlátok megkerülésére, az MHTML tartalom visszaküldésekor egy speciálisan erre a célra készített weboldalon keresztül.

A sikeres kihasználás esetén egy másik Internet Explorer tartomány vagy helyi rendszer tartalma is olvható.

Megjegyzés: A sérülékenységet Outlook Expressben és Windows Mailben jelentette a Microsoft, mivel a sebezhetőség kihasználását ez a két program teszi lehetővé, bár a sebezhetőség az Internet Exploreren keresztül használható ki.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com
SECUNIA 31415
CVE-2008-1448 - NVD CVE-2008-1448