Microsoft Internet Explorer többszörös sérülékenység

CH azonosító

CH-2239

Felfedezés dátuma

2009.06.09.

Súlyosság

Kritikus

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 5.01, 6, 7, 8

Összefoglaló

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

Leírás

Több sérülékenységet találtak a Microsoft Internet Explorerben, amiket kihasználva, támadók megkerülhetik a biztonsági korlátozásokat, vagy feltörhetik a felhasználó rendszerét.

  1. A gyorsítótárban lévő tartalom kezelésében lévő hibát kihasználva meg lehet kerülni a tartomány korlátozásokat, és információkat lehet szerezni a helyi rendszerből, másik tartományban lévő rendszerből vagy másik Internet Explorer zónából a Universal Naming Convention (UNC) űrlapon meghatározott egységes erőforrás-azonosítókra (URI) történő átirányításokkal.
  2. A DHTML objektumok meghívásában lévő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  3. Az aszinkron “XMLHttpRequest” kérések kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  4. Különlegesen kialakított objektumokra irányuló “setCapture()” hívások kezelésének egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni.
  5. Egy HTML dokumentumhoz node-ok hozzáadásakor, az eseménykezelők ismételt meghívásának kezelésében fellépő hibát kihasználva, memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni, amennyiben egy különlegesen kialakított weboldalt egymás után, többször megjelenítenek.
  6. A “getElementsByTagName()” ismételt meghívásakor föllépő hibát kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni az “onreadystatechange” esemény és ismételt oldal megjelenítés segítségével, ami egy objektum helytelen felszabadítását eredményezi.
  7. Helytelen HTML sor tulajdonságokra történő hivatkozások feldolgozásának egy hibáját kihasználva memória hivatkozási hibát, és ezen keresztül tetszőleges kód futtatását lehet előidézni

Megoldás

Telepítse a javítócsomagokat