Security Lab

Множественные уязвимости в Microsoft Internet Explorer

Дата публикации:12.04.2006
Дата изменения:26.10.2007
Всего просмотров:6337
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2006-1185
CVE-2006-1186
CVE-2006-1188
CVE-2006-1189
CVE-2006-1190
CVE-2006-1191
CVE-2006-1192
CVE-2006-1245
Вектор эксплуатации: Удаленная
Воздействие: Спуфинг атака
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.x
Уязвимые версии: Microsoft Internet Explorer 5.01, 5.5, 6.0

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, фишинг-атаки и выполнить произвольный код на целевой системе.

1. Уязвимость существует в механизме междоменного перенаправления при обработке некоторых динамических объектов. Удаленный пользователь может посредством JavaScript URI обработчика, примененного к динамически созданному тегу “object”, выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Более подробное описание уязвимости:
Переполнение динамической памяти в Microsoft Internet Explorer

2. Уязвимость существует при обработке различных обработчиков событий HTML элемента (например, onLoad). Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Более подробное описание уязвимости:
Переполнение буфера в Microsoft Internet Explorer

3. Уязвимость существует при обработке некорректного HTML кода. Удаленный пользователь может с помощью специально сформированной Web страницы повредить памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки инициализации COM объектов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

5. Уязвимость существует при обработке HTML элементов, содержащих специально сформированный тег. Удаленный пользователь может выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки при обработке двухбайтных символов в URL. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе. Для успешной эксплуатации уязвимости, система должна использовать двухбайтную кодировку.

7. Уязвимость существует из-за способа обработки IOleClientSite данных во время создания динамических объектов. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности другого сайта или другой зоны.

8. Уязвимость существует из-за ошибки при обработке методов навигации. Удаленный пользователь может подменить содержимое адресной строки или любого другого элемента окна браузера и произвести фишинг-атаку.
Более подробное описание уязвимости:
Уязвимость состояния операции в Microsoft Internet Explorer

9. Обнаружено несколько уязвимостей в ActiveX компонентах, содержащихся в Danim.dll и Dxtmsft.dll

10. Уязвимость существует из-за ошибки при обработке HTA файлов. Удаленный пользователь может выполнить произвольный код на целевой системе.
Более подробное описание уязвимости:
Выполнение произвольных HTA файлов в Microsoft Internet Explorer

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Internet Explorer 5.01 SP4 on Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=594E7B87-AF8F-4346-9164-596E3E5C22B1

Internet Explorer 6 SP1 on Windows 2000 SP4 or Windows XP SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=033C41E1-2B36-4696-987A-099FC57E0129

Internet Explorer 6 for Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F05FFB31-E6B4-4771-81F1-4ACCEBF72133

Internet Explorer 6 for Windows Server 2003 and Windows Server 2003 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EE566871-D217-41D3-BECC-B27FAFA00054

Internet Explorer 6 for Windows Server 2003 for Itanium-based systems and Windows Server 2003 with SP1 for Itanium-based systems:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E584957C-0ABE-4129-ABAF-AA2852AD62A3

Internet Explorer 6 for Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5A1C8BE3-39EE-4937-9BD1-280FC35125C6

Internet Explorer 6 for Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C278FE3E-620A-4BBC-868B-CA2D9EFF7AC3

Ссылки: MS06-013: Cumulative security update for Internet Explorer