Security Lab

Множественные уязвимости в Microsoft Internet Explorer

Дата публикации:11.12.2007
Дата изменения:02.05.2014
Всего просмотров:6242
Опасность:
Критическая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-3902
CVE-2007-3903
CVE-2007-5344
CVE-2007-5347
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Уязвимые версии: Microsoft Internet Explorer 5.x, 6.x, 7.x

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в mshtml.dll при обработке вызовов метода "setExpression()". Удаленный пользователь может вызвать разыменование ранее освобожденной памяти и, с помощью специально сформированного Web сайта, вызвать повреждение памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки в методах "cloneNode()" и "nodeValue()". Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки при обработке объектов документов. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при обработке определенных вызовов к HTML объектам. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. Эта уязвимость активно эксплуатируется в настоящее время.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Windows 2000 SP4 with Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/de...=B3BD16EA-5D69-4AE3-84B3-AB773052CEEB

Windows 2000 SP4 with Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/de...=BC8EDF05-262A-4D1D-B196-4FC1A844970C

Windows XP SP2 with Internet Explorer 6:
http://www.microsoft.com/downloads/de...=6E4EBAFC-34C3-4DC7-B712-152C611D3F0A

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=F5A5AF23-30FB-4E47-94BD-3B05B55C92F2

Windows Server 2003 SP1/SP2 with Internet Explorer 6:
http://www.microsoft.com/downloads/de...=BF466060-A585-4C2E-A48D-70E080C3BBE7

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=074697F2-18C8-4521-BBF7-1D0E7395D27D

Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 6:
http://www.microsoft.com/downloads/de...=B3F390A6-0361-4553-B627-5E7AD6BF5055

Windows XP SP2 with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=B15A6506-02DD-43C2-AEF4-E10C1C76EE97

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=C092A6BB-8E62-4D90-BDB1-5F3A15968F75

Windows Server 2003 SP1/SP2 with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=34759C10-16A5-42A2-974D-9D532FB5A0A7

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=7DCCCE5A-7562-448B-A345-CF1CC758E35C

Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 7:
http://www.microsoft.com/downloads/de...=8414F3FB-216A-4D46-B590-4C1F304DFF91

Windows Vista with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=26D303DA-BB2E-4555-96F1-BECB0E277341

Windows Vista x64 Edition with Internet Explorer 7:
http://www.microsoft.com/downloads/de...=C5E88E0B-A4C2-4690-91D9-326800030A16

Журнал изменений:

12.11.2007
Обновлено описание уязвимостей #1-3. Добавлены новые подробности.

Ссылки: (MS07-069) Cumulative Security Update for Internet Explorer (942615)
ZDI-07-073: Microsoft Internet Explorer setExpression Code Execution Vulnerability
ZDI-07-074: Microsoft Internet Explorer Node Manipulation Memory Corruption Vulnerability
ZDI-07-075: Microsoft Internet Explorer Element Tags Vulnerability