Microsoft Internet Explorer többszörös sérülékenység


2009. június 9. 22:00

CH azonosító

CH-2239

Felfedezés dátuma

2009.06.09.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 5.01, 6, 7, 8

Összefoglaló

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

Leírás

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

  1. A gyorsítótárban lévő tartalom kezelésében lévő hibát kihasználva meg lehet kerülni a tartomány korlátozásokat, és információkat lehet szerezni a helyi rendszerből, másik tartományban lévő rendszerből vagy másik Internet Explorer zónából a Universal Naming Convention (UNC) űrlapon meghatározott egységes erőforrás-azonosítókra (URI) történő átirányításokkal.
  2. A DHTML objektumok meghívásában lévő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  3. Az aszinkron “XMLHttpRequest” kérések kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  4. Különlegesen kialakított objektumokra irányuló “setCapture()” hívások kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  5. Egy HTML dokumentumhoz node-ok hozzáadásakor, az eseménykezelők ismételt meghívásának kezelésében fellépő hibát kihasználva, memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni, amennyiben egy különlegesen kialakított weboldalt egymás után, többször megjelenítenek.
  6. A “getElementsByTagName()” ismételt meghívásakor föllépő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni az “onreadystatechange” esemény és ismételt oldal megjelenítés segítségével, ami egy objektum helytelen felszabadítását eredményezi.
  7. Helytelen HTML sor tulajdonságokra történő hivatkozások feldolgozásának egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2009-1528 - NVD CVE-2009-1528
CVE-2009-1141 - NVD CVE-2009-1141
CVE-2009-1140 - NVD CVE-2009-1140
SECUNIA 35362
Gyártói referencia: www.microsoft.com
CVE-2009-1529 - NVD CVE-2009-1529
CVE-2009-1530 - NVD CVE-2009-1530
CVE-2009-1531 - NVD CVE-2009-1531
CVE-2009-1532 - NVD CVE-2009-1532

Legfrissebb sérülékenységek
CVE-2025-14733 – WatchGuard Firebox Out of Bounds Write sérülékenység
CVE-2023-52163 – Digiever DS-2105 Pro Missing Authorization sérülékenység
CVE-2025-14847 – MongoDB and MongoDB Server Improper Handling of Length Parameter Inconsistency sérülékenység
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
Tovább a sérülékenységekhez »