VulDB: Microsoft Internet Explorer bis 7.x SVG Image Handler animateMotion Pufferüberlauf
Allgemein
scipID: 3601
Betroffen: Microsoft Internet Explorer bis 7.x
Veröffentlicht: 12.02.2008
Risiko: 
kritisch
Eintrag: 87.6% komplett
Erstellt: 18.02.2008
Aktualisiert: 03.09.2012
Beschreibung
Internet Explorer oder Microsoft Internet Explorer (Abkürzungen: IE oder MSIE) bezeichnet einen Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR2 ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Mac OS und Unix-Derivate (wie Solaris und HP-UX). Die derzeit aktuelle Version ist Windows Internet Explorer 7. In aktuellen Versionen des Internet Explorer gab Microsoft unlängst bekannt, dass ein Fehler in der Art und Weise wie die Eigenschaft “by” im SVG Element “animateMotion” verarbeitet wird zu einem Pufferüberlauf führen kann, was zur Ausführung beliebigen Programmcodes führen kann. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von Secunia (SA28903) dokumentiert.
Bislang sieht es aus, als würde Microsoft diesen Monat das Rennen um die wenigsten Browserlücken gewinnen: Im Vergleich zu Mozillas Firefox adressiert Microsoft im monatlichen Security Bulletin lediglich 3 Schwachstellen, die aber durchaus als kritisch anzusehen sind. Anwendern wie auch Administratoren sei empfohlen, die entsprechenden Patches baldmöglichst einzuspielen.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: MS08-010
Timeline
03.01.2008 | CVE zugewiesen
12.02.2008 | Advisory veröffentlicht
18.02.2008 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS08-010
Firma: ZDI
CVE: CVE-2008-0076 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 28903
- Letzte Einträge
- Apple iOS Mobile Hotspot generateDefaultPassword() schwache Authentisierung
- Cisco ASA CX TCP Packet Handler Denial of Service [CVE-2013-1203]
- Microsoft Outlook S/MIME Handler schwache Verschlüsselung
- Google Android Input Validation Handler Information Disclosure
- Fortinet FortiOS Permission Handler schwache Authentisierung
- Statistiken
- Archiv
