Microsoft Internet Explorer sérülékenységek


2011. április 13. 08:50

CH azonosító

CH-4705

Angol cím

Microsoft Internet Explorer Multiple Vulnerabilities

Felfedezés dátuma

2011.04.12.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.x, 7.x, 8.x

Összefoglaló

A Microsoft Internet Explorer több sérülékenységét jelentették, amelyeket a támadók kihasználhatnak érzékeny információk megszerzéséhez, egyes biztonsági szabályok megkerülésére és a felhasználó sérülékeny rendszerének feltörésére.

Leírás

  1. Felhaszbadítás utáni használatból eredő hiba (use-after-free), amikor objektumot kezel és amely során kicserélődik a hívás alatt egy bizonyos függvényre. Ez kihasználható a már felszabadított memória hivatkozás feloldására és tetszőleges kód tuttatására egy speciálisan erre a célra készített weboldalon keresztül.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.

  2. Hibát okoz a kezdeti értékkel nem rendelkező vagy törölt MSHTML objektumokhoz való hozzáférési kísérlet, ami kihasználható a memória tartalmának megváltoztatására vagy tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített web oldalra.
  3. A frame tag objektumok feldolgozási hibája kihasználható bizonyos információk felfedésére vagy click-jacking támadásokra.
  4. Egyes JavaScript objektumok kezelésekor fellépő hiba kihasználható a domain korlátozások megkerülésére, valamint más domain-ek vagy az Internet Explorer zónák tartalmának felfedésére.
  5. Az “onPropertyChange” események kezelésekor hiba lép fel az objektum attribútumok beállításakor. Ez kihasználható a memória tartalmának megváltoztatására és tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített weboldalra.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.

Az 1., 2. és 5. pontban ismertetett sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 44153
CVE-2011-0094 - NVD CVE-2011-0094
CVE-2011-0346 - NVD CVE-2011-0346
CVE-2011-1244 - NVD CVE-2011-1244
CVE-2011-1245 - NVD CVE-2011-1245
CVE-2011-1345 - NVD CVE-2011-1345

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »