CH azonosító
CH-4062Angol cím
Internet Explorer Multiple VulnerabilitiesFelfedezés dátuma
2010.12.13.Súlyosság
KritikusÉrintett rendszerek
Internet ExplorerMicrosoft
Érintett verziók
Microsoft Internet Explorer 6.x, 7.x, 8.x
Összefoglaló
Az Internet Explorer olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva feltörhetik a felhasználó rendszerét.
Leírás
- A sérülékenységet a stíluslapok (CSS) feldolgozásakor jelentkező, felszabadítási utáni használat miatti hiba (use-after-free) okozza, ami kihasználható a memória tartalmának megváltoztatására egy erre a célra létrehozott, több importálási szabályt tartalmazó CSS fájl segítségével.
Megjegyzés: A sérülékenységet jelenleg aktívan is kihasználják. - Egy objektum hozzáférése során, amely nem lett megfelelően inicalizálva vagy törölve, egy meghatározatlan hibát kihasználva megváltoztatható a memória tartalma egy speciálisan megszerkesztett weboldal segítségével.
- Bizonyos könyvtárak (például IEShims.dll) nem biztonságos módon töltődnek be, amely kihasználható tetszőleges könyvtárak betöltésére, például ha a felhasználó megnyit egy HTML fájlt egy távoil WebDAV vagy SMB megosztáson.
A sérülékenységek sikeres kihasználásával tetszőleges kód futtatása lehetséges.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 42510
CVE-2010-3971 - NVD CVE-2010-3971
CVE-2011-0035 - NVD CVE-2011-0035
CVE-2011-0036 - NVD CVE-2011-0036
CVE-2011-0038 - NVD CVE-2011-0038
Gyártói referencia: www.microsoft.com
Egyéb referencia: www.wooyun.org