Множественные уязвимости в Microsoft Internet Explorer

Дата публикации:
09.02.2005
Дата изменения:
17.10.2006
Всего просмотров:
1902
Опасность:
Критическая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Microsoft Internet Explorer 5.01, 5.5, 6

Описание:
Уязвимости в Microsoft Internet Explorer позволяют удаленному атакующему произвести XSS атаку, обойти некоторые ограничения, получить доступ к важной информации и скомпрометировать систему.

1. Недостаточная обработка событий drag-and-drop позволяет удаленному пользователю обойти ограничения безопасности и сохранить произвольный файл на целевой системе. Уязвимость может быть эксплуатирована посредством Content-Disposition HTTP заголовка с дополнительно точкой в имени загружаемого файла.

2. Уязвимость при обработке некоторых закодированных URL позволяет подменить содержимое строки адреса в окне и выполнить произвольный HTML сценарий в браузере целевого пользователя.

3. Уязвимость при обработке URL в CDF файлах позволяет тегу CHANNEL содержать ссылку на javascript: URL. Удаленный пользователь может выполнить произвольный сценарий в браузере жертвы.

4. Уязвимость в функции javascript "createControlRange()" позволяет злоумышленнику перенаправить поток данных злонамеренного приложения в кучу и выполнить произвольный код на уязвимой системе с привилегиями текущего пользователя.

5. Недостаточная обработка межзоновых ограничений позволяет с помощью специально сформированного URL прилинковать локальные ресурсы.

6. Ошибка при обработке сайтов внутри Temporary Internet Files позволяет злонамеренному пользователю загрузить произвольный файл в контексте Temporary Internet Files и получить данные об имени пользователя и файлах, находящихся в каталоге Temporary Internet Files.

7. Ошибка при обработке атрибута codebase тега object позволяет выполнить произвольный файл с любым разрешением в Local Computer Zone посредством добавления символов "?.exe".

URL производителя: http://www.microsoft.com

Решение: Установите обновления

Internet Explorer 5.01 (requires service pack 3 on Windows 2000 service pack 3):
http://www.microsoft.com/downloads/details.aspx?FamilyId=34F5BCDE-4EE2-4EFD-BB60-F5A6BC5F56D1

Internet Explorer 5.01 (requires service pack 4 on Windows 2000 service pack 4):
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C2CBB4B-2F00-4CD6-BB98-AD14A48B53C0

Internet Explorer 6 (requires service pack 1 on Microsoft Windows 2000 service pack 3, on Microsoft Windows 2000 service pack 4, or on Microsoft Windows XP service pack 1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=E473CD05-3320-4322-B437-F3A61E62F567

Internet Explorer 6 for Windows XP (requires service pack 1) (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=7EAE62C0-3DA0-4BAC-B2FE-ECE89959053D

Internet Explorer 6 for Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4DC0FE8A-9D03-4AB8-8EAF-C85FF25CB1A2

Internet Explorer 6 for Windows Server 2003 64-Bit Edition and Windows XP 64-Bit Edition version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E3C4DA1F-6FA2-4A2B-A6D9-24B599C353B3

Internet Explorer 6 for Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=82056EAB-8367-4B04-A11A-1002D14EB55B


или введите имя

CAPTCHA