Patch Day: Microsoft beseitigt sechs kritische Lücken in Windows, Office und IE
MS07-045: kumulatives Update für den Internet Explorer
Gleich drei Lücken behebt dieses Update für den Internet Explorer. Die erste betrifft den CSS-Parser des IE. Hier kann es bei der Verarbeitung bestimmter Strings zum Überschreiben von Speicher und in Folge zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers kommen.
Das ActiveX-Control tblinf32.dll (auch unter dem Namen vstlbinf.dll zu finden) implementiert die Schnittstelle IObjectsafety nicht korrekt. Dabei kann es zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers kommen. Das Update setzt das Kill-Bit, das eine Instanziierung im IE verhindert.
Das ActiveX-Control pdwizard.ocx lässt sich im IE instanziieren, obwohl das eigentlich gar nicht vorgesehen ist. Beim Instanziieren im IE kann es zum Überschreiben von Systemspeicher und in Folge zur Ausführung beliebigen Codes mit den Rechten des angemeldeten Benutzers .kommen. Das Update setzt das Kill-Bit, das eine Instanziierung im IE verhindert.
Alle drei Lücken setzen voraus, dass der Angreifer das Opfer auf eine speziell präparierte Website lockt.
|
Datum |
15.08.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Internet Explorer 5, 6 und 7 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |