Microsoft Patch Day: Sieben kritische Patches
MS07-027: Kumulatives Update für den Internet Explorer
Fünf teils kritische Lücken im Internet Explorer behebt dieses Update. Als erstes hat man ein weiteres ActiveX-Objekt ausgemacht, dessen Kill-Bit nicht gesetzt war.
Beim Zugriff auf ein Objekt, das bereits wieder freigegeben ist, kann es zum Überschreiben von Speicherbereichen und in Folge zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers kommen. Auch Zugriffe auf nicht initialisierten Speicher oder auf eine Eigenschaften-Methode führen zu dem Effekt.
Um die Lücken auszunutzen, muss der Angreifer das Opfer lediglich auf eine speziell präparierte Web-Seite locken.
Datum |
08.05.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Internet Explorer 5.01, 6 und 7 |
Auswirkung |
Ausführen beliebigen Codes, Rechteausweitung, Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
CVE-2007-0942, CVE-2007-0944, CVE-2006-0945, CVE-2006-0946, CVE-2006-0947, CVE-2006-2221 |