Microsoft Windows HTML Help ActiveX vezérlő cross-domain sérülékenység

CH azonosító

CH-26

Felfedezés dátuma

2005.01.11.

Súlyosság

Közepes

Érintett rendszerek

Internet Explorer
Microsoft

Érintett verziók

Microsoft Internet Explorer 6.0 SP1

Összefoglaló

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet, ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával.

Leírás

A Microsoft Windows HTML Help ActiveX vezérlő tartalmaz egy cross-domain sérülékenységet ami lehetővé teszi, hogy távoli támadók tetszőleges kódot futtassanak a sérülékeny rendszereken a felhasználó jogosultságával. A HTML Help vezérlőt egy betöltött HTML dokumentum tudja elindítani egy olyan programban, ami MSHTML-t használ, pl. Internet Explorer.

A Microsoft Windows HTML Help ActiveX vezérlő (hhctrl.ocx) nem állapítja meg helyesen a forrást ha a Related Topics az új ablakot azonos ablaknévvel hozza létre. Ez a cross-domain sérülékenység lehetővé teszi, hogy a támadó tartalmat olvasson vagy módosítson, vagy scriptet futtasson egy másik tartományban, beleértve a Local Machine Zone-t.

Ha a felhasználó megnyitegy különlegesen kialakított HTML dokumentumot (pl. weboldatl vagy HTML e-mailt), akkor a támadó tetszőleges kódot futtathat a felhasználó jogosultságával.

A bejelentések alapján a sérülékenységet a Phel nevű kártékony szoftver használja ki.

Megoldás

Telepítse a javítócsomagokat