Patch Day: Acht kritische Windows-Lücken
MS06-021: Acht Lücken im IE
Gleich acht Lücken im Internet Explorer behebt dieses Update.
1. Bei der Verarbeitung von Exceptions im Active Scripting kann es vorkommen, dass der Systemspeicher korrumpiert wird. Dies kann in der Ausführung beliebigen Codes resultieren. Der Angreifer muss das Opfer lediglich dazu bringen, eine speziell präparierte Internet-Seite aufzurufen oder eine entsprechende Email in Outlook zu öffnen.
2. Bei der Verarbeitung speziell aufgebauter UTF8-kodierten HTML-Codes kann es vorkommen, dass der Systemspeicher korrumpiert wird. Dies kann in der Ausführung beliebigen Codes resultieren. Der Angreifer muss das Opfer lediglich dazu bringen, eine speziell präparierte Internet-Seite aufzurufen oder eine entsprechende Email in Outlook zu öffnen.
3. Wenn das ActiveX-Control DXImageTransform.Microsoft.Light unerwartete Daten erhält, kann es zur Ausführung beliebigen Codes kommen. Der Angreifer muss das Opfer lediglich dazu bringen, eine speziell präparierte Internet-Seite aufzurufen.
4. Wie quasi bei jedem Update für den IE finden sich auch bei diesem weitere ActiveX-Objekte, deren Kill-Bit nicht gesetzt ist. Diese lassen sich fälschlicherweise im Internet Explorer instantiieren. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird. Drei weitere Klassen werden mit diesem Update angepasst.
5. Weil der Internet Explorer bestimmte auf spezielle Art und Weise formatierte Dokumente fälschlicherweise als CSS interpretiert, kann ein Angreifer über ein solches Dokument an Daten aus anderen Sicherheitszonen des IE gelangen.
6 und 7. Die Adresszeile und andere Bestandteile des User Interface können unter bestimmten Umständen so manipuliert werden, dass weiterhin die URL einer vertrauenswürdigen Site angezeigt wird, obwohl der Content von einer ganz anderen Site stammt.
8. Beim Speichern von Webseiten im MHT-Format (Multipart HTML), kann es vorkommen, dass der Systemspeicher korrumpiert wird. Dies kann in der Ausführung beliebigen Codes resultieren. Der Angreifer muss das Opfer lediglich dazu bringen, eine speziell präparierte Internet-Seite aufzurufen und als multipart-HTML zu speichern.
|
Datum |
14.06.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Alle Windows-Versionen mit Internet Explorer ab Version 5.01 |
|
Auswirkung |
Code-Ausführung, Preisgabe von Informationen, Spoofing |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
CAN-2006-2218 , CAN-2006-2382 , CAN-2006-2383 , CAN-2006-1303 , CAN-2005-4089 , CAN-2006-2384 , CAN-2006-2385 , CAN-2006-1626 |