Microsoft Windows HTML Help ActiveX vezérlő cross-domain sérülékenység

CH azonosító

CH-26

Felfedezés dátuma

2005.01.11.

Súlyosság

Közepes

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.0 SP1

Összefoglaló

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet, ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával.

Leírás

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával. A HTML Help vezérlőt egy betöltött HTML dokumentum tudja elindítani egy olyan programban, ami MSHTML-t használ, pl. Internet Explorer.

A Microsoft Windows HTML Help ActiveX vezérlő (hhctrl.ocx) nem állapítja meg helyesen a forrást ha a Related Topics az új ablakot azonos ablaknévvel hozza létre. Ez a cross-domain sérülékenység lehetővé teszi, hogy a támadó tartalmat olvasson vagy módosítson, vagy scriptet futtasson egy másik tartományban, beleértve a Local Machine Zone-t.

Ha a felhasználó megnyitegy különlegesen kialakított HTML dokumentumot (pl. weboldatl vagy HTML e-mailt), akkor a támadó tetszőleges kódot futtathat a felhasználó jogosultságával.

A bejelentések alapján a sérülékenységet a Phel nevű kártékony szoftver használja ki.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »