Microsoft Windows súgó és támogatás központ megbízható dokumentum fehérlista biztonsági megkerülés sérülékenység

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows XP SP2 - SP3, x64 SP2
Microsoft Windows Server 2003 SP2, x64 SP2, Itanium SP2

Összefoglaló

A Microsoft Windows súgó és támogatás központ olyan sérülékenysége vált ismertté, amelyet támadók távolról kihasználhatnak tetszőleges súgó dokumentumokhoz történő hozzáférésre, amelyek különböző támadások alapjául szolgálhatnak.

Leírás

A támadó a sérülékenységet más sérülékenységekkel is kombinálhatja, például véve a BID 40721-ben (Microsoft Windows súgó és támogatás központ ‘sysinfo/sysinfomain.htm’ cross site scripting sérülékenység) leírtakat, amely tetszőleges kód futtatását teszi lehetővé a sérülékeny rendszeren.

Megjegyzés: A sérülékenység egy figyelmeztető dialógus ablak megjelenését okozhatja az Internet Explorer 8-ban és más böngészőkben, de ez a védelem megkerülhető, amennyiben a támadótól származó hivatkozás egy média fájlba kerül elhelyezésre és a fájl a böngészőn keresztül jut el a felhasználóhoz, amely ezt követően elindítja a Windows Media lejátszó alkalmazást, amely következtében a figyelmeztető dialógus ablak nem kerül megjelenítésre. Az Internet Explorer 7 és megelőző verziók nem jelenítik meg a figyelmeztető dialógus ablakot amennyiben az eseményre kerül sor.

A sérülékenység a Windows XP-t és Windows Server 2003-at érinti, de a Windows más verziói is érintettek lehetnek.

A Microsoft közleménye szerint a sérülékenység kihasználása korlátozott számban eredményezett támadásokat.

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: www.microsoft.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: blogs.technet.com
Egyéb referencia: www.securityfocus.com
CVE-2010-1885 - NVD CVE-2010-1885