Összefoglaló
A Microsoft Internet Explorer egy puffer túlcsordulás hibáját kihasználva távoli támadók tetszőleges kódot futtathatnak.
Leírás
Egy puffer túlcsordulásos sérülékenység a Microsoft Internet Explorer HTML elemekben lehetővé teszi, hogy egy támadó távolról tetszőleges kódot futtasson. Bármely program ami a Webböngésző ActiveX vezérlőit használja szintén érintett lehet.
Puffer túlcsordulásos sérülékenység van az SRC és NAME attribútumok kezelésében egyes elemeknél, pl. FRAME és IFRAME. Mivel a NAME és SRC attribútumok hossza nincs megfelelően ellenőrizve, puffer túlcsordulás idézhető elő egy rosszindulatú HTML dokumentummal.
Ha a támadó ráveszi egy áldozatot egy ilyen dokumentum megnyitására (pl. weboldal vagy HTML email), akkor tetszőleges kódot futtathat az áldozat jogosultságaival. A sérülékenységet kihasználva a támadó az Internet Explorer (vagy a WebBrowser ActiveX vezérlőt használó más program) összeomlását is okozhatja.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.microsoft.com
Egyéb referencia: www.us-cert.gov
Gyártói referencia: www.microsoft.com
US-CERT 842160
