Microsoft Internet Explorer / Edge sérülékenységei


2016. december 14. 09:16

CH azonosító

CH-13775

Angol cím

Microsoft Internet Explorer / Edge vulnerabilities

Felfedezés dátuma

2016.12.13.

Súlyosság

Kritikus

Érintett rendszerek

Edge
Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 9,10,11, Microsoft Edge

Összefoglaló

A Microsoft Internet Explorer/Edge kritikus kockázati besorolású sérülékenységei váltak ismertté, melyek közül a legsúlyosabbakat kihasználva a támadó tetszőleges kódot futtathat a célrendszeren.
A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Az Internet Explorerhez összesen 8 hibajavítás vált elérhetővé. A hibák kihasználásával a támadó tetszőleges kódot futtathat, bizalmas információkhoz juthat, biztonsági korlátozásokat kerülhet meg, valamint emelt szintű jogosultságokat szerezhet. A sérülékenységek sikeres kihasználásához a felhasználónak egy fertőzött weboldalt kell meglátogatnia, ezt követően a támadó a felhasználó jogosultságával módosíthatja a rendszert (kódot futtathat, adatokhoz férhet hozzá és módosíthatja azokat, vagy akár új felhasználói fiókot is létrehozhat).

Az Microsoft Edge-hez összesen 11 hibajavítás vált elérhetővé. A hibák kihasználásával a támadó tetszőleges kódot futtathat, bizalmas információkhoz juthat, biztonsági korlátozásokat kerülhet meg, továbbá emelt szintű jogosultságokat szerezhet. A sérülékenységek sikeres kihasználásához a felhasználónak egy fertőzött weboldalt kell meglátogatnia, ezt követően a támadó a felhasználó jogosultságával módosíthatja a rendszert (kódot futtathat, adatokhoz férhet hozzá és módosíthatja azokat, vagy akár új felhasználói fiókot is létrehozhat).

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Telepítse a KB3204059 és a KB3204062, számú javítást.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: technet.microsoft.com
Gyártói referencia: technet.microsoft.com
CVE-2016-7202 - NVD CVE-2016-7202
CVE-2016-7278 - NVD CVE-2016-7278
CVE-2016-7279 - NVD CVE-2016-7279
CVE-2016-7281 - NVD CVE-2016-7281
CVE-2016-7282 - NVD CVE-2016-7282
CVE-2016-7283 - NVD CVE-2016-7283
CVE-2016-7284 - NVD CVE-2016-7284
CVE-2016-7287 - NVD CVE-2016-7287
CVE-2016-7181 - NVD CVE-2016-7181
CVE-2016-7206 - NVD CVE-2016-7206
CVE-2016-7279 - NVD CVE-2016-7279
CVE-2016-7280 - NVD CVE-2016-7280
CVE-2016-7281 - NVD CVE-2016-7281
CVE-2016-7282 - NVD CVE-2016-7282
CVE-2016-7286 - NVD CVE-2016-7286
CVE-2016-7287 - NVD CVE-2016-7287
CVE-2016-7288 - NVD CVE-2016-7288
CVE-2016-7296 - NVD CVE-2016-7296
CVE-2016-7297 - NVD CVE-2016-7297

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »