Microsoft Internet Explorer sérülékenységek


2011. április 13. 08:50

CH azonosító

CH-4705

Angol cím

Microsoft Internet Explorer Multiple Vulnerabilities

Felfedezés dátuma

2011.04.12.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.x, 7.x, 8.x

Összefoglaló

A Microsoft Internet Explorer több sérülékenységét jelentették, amelyeket a támadók kihasználhatnak érzékeny információk megszerzéséhez, egyes biztonsági szabályok megkerülésére és a felhasználó sérülékeny rendszerének feltörésére.

Leírás

  1. Felhaszbadítás utáni használatból eredő hiba (use-after-free), amikor objektumot kezel és amely során kicserélődik a hívás alatt egy bizonyos függvényre. Ez kihasználható a már felszabadított memória hivatkozás feloldására és tetszőleges kód tuttatására egy speciálisan erre a célra készített weboldalon keresztül.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.

  2. Hibát okoz a kezdeti értékkel nem rendelkező vagy törölt MSHTML objektumokhoz való hozzáférési kísérlet, ami kihasználható a memória tartalmának megváltoztatására vagy tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített web oldalra.
  3. A frame tag objektumok feldolgozási hibája kihasználható bizonyos információk felfedésére vagy click-jacking támadásokra.
  4. Egyes JavaScript objektumok kezelésekor fellépő hiba kihasználható a domain korlátozások megkerülésére, valamint más domain-ek vagy az Internet Explorer zónák tartalmának felfedésére.
  5. Az “onPropertyChange” események kezelésekor hiba lép fel az objektum attribútumok beállításakor. Ez kihasználható a memória tartalmának megváltoztatására és tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített weboldalra.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.

Az 1., 2. és 5. pontban ismertetett sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 44153
CVE-2011-0094 - NVD CVE-2011-0094
CVE-2011-0346 - NVD CVE-2011-0346
CVE-2011-1244 - NVD CVE-2011-1244
CVE-2011-1245 - NVD CVE-2011-1245
CVE-2011-1345 - NVD CVE-2011-1345

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
Tovább a sérülékenységekhez »