Patch Day Dezember 2004: Neues kumulatives Update für den IE

MS04-40: Kritisches Update für den IE

Der Patch ersetzt das kumulative Update MS04-38. Er behebt eine neu entdeckte, kritische Lücke im Internet Explorer 6 SP1. Über lange SRC- und NAME-Attribute in den Elementen IFRAME, FRAME und EMBED konnten Angreifer einen Heap-basierten Pufferüberlauf erzeugen. Im Anschluss ließ sich beliebiger Code auf dem angegriffenen System ausführen.

Wenn der Benutzer auf dem attackierten System nun administrative Rechte besitzt, kann der Angreifer die komplette Kontrolle übernehmen.

Microsoft rät allen Nutzern des Internet Explorer, das Update sofort zu installieren. Sie finden die Update-Matrix im Security Bulletin

MS04-040: Kumulatives Sicherheits-Update für Internet Explorer

Datum

01.12.2004

Warnstufe

kritisch

Betrifft

alle Versionen des IE

Auswirkung

Ausführung beliebigen Codes

Work-around

siehe Security-Bulletin

Updates

siehe Security-Bulletin

CVE

CAN-2004-1050