Patch Day Dezember 2004: Neues kumulatives Update für den IE
MS04-40: Kritisches Update für den IE
Der Patch ersetzt das kumulative Update MS04-38. Er behebt eine neu entdeckte, kritische Lücke im Internet Explorer 6 SP1. Über lange SRC- und NAME-Attribute in den Elementen IFRAME, FRAME und EMBED konnten Angreifer einen Heap-basierten Pufferüberlauf erzeugen. Im Anschluss ließ sich beliebiger Code auf dem angegriffenen System ausführen.
Wenn der Benutzer auf dem attackierten System nun administrative Rechte besitzt, kann der Angreifer die komplette Kontrolle übernehmen.
Microsoft rät allen Nutzern des Internet Explorer, das Update sofort zu installieren. Sie finden die Update-Matrix im Security Bulletin
Datum | 01.12.2004 |
---|---|
| |
Warnstufe | kritisch |
Betrifft | alle Versionen des IE |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE |