VulDB: Microsoft Internet Explorer bis 6.x ActiveX Component Handler tblinf32.dll/vstlbinf.dll Pufferüberlauf
Allgemein
scipID: 3244
Betroffen: Microsoft Internet Explorer bis 6.x
Veröffentlicht: 14.08.2007
Risiko: 
kritisch
Eintrag: 92.4% komplett
Erstellt: 20.08.2007
Aktualisiert: 03.09.2012
Beschreibung
Internet Explorer oder Windows Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR2 ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. Durch eine fehlerhafte Implementierung des IObjectsafety Objektes in den ActiveX Objekten tblinf32.dll/vstlbinf.dll kann ein Angreifer die Ausführung beliebigen Codes anstreben. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (36396), Secunia (SA26419) und SecurityFocus (BID 25289) dokumentiert.
Im monatlichen Security Bulletin beschreibt Microsoft diesmal gleich mehrere Schwachstellen für den hauseigenen Browser. Die allesamt als kritisch zu betrachteten Schwachstellen sind aufgrund ihrer hohen Verbreitung eine Gefährung für eine Windows-basierte Umgebung und sollten baldmöglichst durch das Einspielen entsprechender Patches adressiert werden.
CVSS
Base Score: 4.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:microsoft:internet_explorer:6.x
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: MS07-045
Timeline
24.04.2007 | CVE zugewiesen
14.08.2007 | Advisory veröffentlicht
14.08.2007 | OSVDB Eintrag erstellt
20.08.2007 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS07-045
Firma: Microsoft
OSVDB: 36396
CVE: CVE-2007-2216 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 26419
SecurityFocus: 25289
