Microsoft Internet Explorer sérülékenységek

CH azonosító

CH-4705

Angol cím

Microsoft Internet Explorer Multiple Vulnerabilities

Felfedezés dátuma

2011.04.12.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.x, 7.x, 8.x

Összefoglaló

A Microsoft Internet Explorer több sérülékenységét jelentették, amelyeket a támadók kihasználhatnak érzékeny információk megszerzéséhez, egyes biztonsági szabályok megkerülésére és a felhasználó sérülékeny rendszerének feltörésére.

Leírás

  1. Felhaszbadítás utáni használatból eredő hiba (use-after-free), amikor objektumot kezel és amely során kicserélődik a hívás alatt egy bizonyos függvényre. Ez kihasználható a már felszabadított memória hivatkozás feloldására és tetszőleges kód tuttatására egy speciálisan erre a célra készített weboldalon keresztül.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.
  2. Hibát okoz a kezdeti értékkel nem rendelkező vagy törölt MSHTML objektumokhoz való hozzáférési kísérlet, ami kihasználható a memória tartalmának megváltoztatására vagy tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített web oldalra.
  3. A frame tag objektumok feldolgozási hibája kihasználható bizonyos információk felfedésére vagy click-jacking támadásokra.
  4. Egyes JavaScript objektumok kezelésekor fellépő hiba kihasználható a domain korlátozások megkerülésére, valamint más domain-ek vagy az Internet Explorer zónák tartalmának felfedésére.
  5. Az “onPropertyChange” események kezelésekor hiba lép fel az objektum attribútumok beállításakor. Ez kihasználható a memória tartalmának megváltoztatására és tetszőleges kód futtatására, ha a felhasználó ellátogat a speciálisan erre a célra elkészített weboldalra.

    Megjegyzés: A Microsoft szerint ezt a sérülékenységet jelenleg korlátozott, célzott támadásokra használják ki.

Az 1., 2. és 5. pontban ismertetett sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.

Megoldás

Telepítse a javítócsomagokat