Microsoft Internet Explorer CSS kezelés kód végrehajtás sérülékenysége

CH azonosító

CH-2670

Felfedezés dátuma

2009.11.21.

Súlyosság

Magas

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.x, 7.x

Összefoglaló

Egy sérülékenységet fedeztek fel a Microsoft Internet Explorerben, amelyet kihasználva rosszindulatú támadók feltörhetik a sérülékeny rendszert.

Leírás

Egy sérülékenységet fedeztek fel a Microsoft Internet Explorerben, amelyet kihasználva rosszindulatú támadók feltörhetik a sérülékeny rendszert.

A esetet egy hibás mutató okozza, a Microsoft HTML Viewerben (mshtml.dll), amikor bizonyos CSS/STYLE objektumokat fogad a “getElementsByTagName()” eljárással. Ez lehetővé teszi a támadónak az érintett böngésző összeomlasztását vagy tetszőleges kód végrehajtását, ha a felhasználót egy erre a célra elkészített kártékony weblapra csalja.

A sérülékenységet a teljesen frissített Windows XP SP3 rendszer Internet Explorer 6 és 7 verzióiban igazolták.

Megoldás

Kapcsolja ki az Active Scriptinget az Internet és a Helyi hálózat (Local intranet) biztonsági zónákban!