Microsoft Internet Explorer többszörös sérülékenység


2009. június 9. 22:00

CH azonosító

CH-2239

Felfedezés dátuma

2009.06.09.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 5.01, 6, 7, 8

Összefoglaló

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

Leírás

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

  1. A gyorsítótárban lévő tartalom kezelésében lévő hibát kihasználva meg lehet kerülni a tartomány korlátozásokat, és információkat lehet szerezni a helyi rendszerből, másik tartományban lévő rendszerből vagy másik Internet Explorer zónából a Universal Naming Convention (UNC) űrlapon meghatározott egységes erőforrás-azonosítókra (URI) történő átirányításokkal.
  2. A DHTML objektumok meghívásában lévő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  3. Az aszinkron “XMLHttpRequest” kérések kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  4. Különlegesen kialakított objektumokra irányuló “setCapture()” hívások kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  5. Egy HTML dokumentumhoz node-ok hozzáadásakor, az eseménykezelők ismételt meghívásának kezelésében fellépő hibát kihasználva, memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni, amennyiben egy különlegesen kialakított weboldalt egymás után, többször megjelenítenek.
  6. A “getElementsByTagName()” ismételt meghívásakor föllépő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni az “onreadystatechange” esemény és ismételt oldal megjelenítés segítségével, ami egy objektum helytelen felszabadítását eredményezi.
  7. Helytelen HTML sor tulajdonságokra történő hivatkozások feldolgozásának egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2009-1528 - NVD CVE-2009-1528
CVE-2009-1141 - NVD CVE-2009-1141
CVE-2009-1140 - NVD CVE-2009-1140
SECUNIA 35362
Gyártói referencia: www.microsoft.com
CVE-2009-1529 - NVD CVE-2009-1529
CVE-2009-1530 - NVD CVE-2009-1530
CVE-2009-1531 - NVD CVE-2009-1531
CVE-2009-1532 - NVD CVE-2009-1532

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »