• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость обращения к некорректному указателю

Главная Специалистам База уязвимостей Уязвимость обращения к некорректному указателю

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer (5.01, 5.01 SP4, 6.0, 6.0 SP1, 7.0) Microsoft Updates (KB2183461, KB2360131, KB2416400, KB2482017, KB2497640, KB2530548, KB2559049, KB2586448, KB2618444, KB2647516, KB2675157, KB2699988, KB2719177, KB2722913, KB2744842, KB2761451, KB2761465, KB2792100, KB2809289, KB2817183, KB2829530, KB2838727, KB2846071, KB2862772, KB2870699, KB2879017, KB2888505, KB2898785, KB2909921, KB2919355, KB2925418, KB2936068, KB2957689, KB2962872, KB2963950, KB2963952, KB2976627, KB2977629, KB2987107, KB3003057, KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275, KB960714, KB961260, KB963027, KB969897, KB972260, KB974455, KB976325, KB978207, KB980182, KB982381, SP0, SP1, SP2)
Описание
Удаленное выполнение кода возможно из-за уязвимости, связанной с обращением к некорректному указателю в функции привязки данных в Internet Explorer. Когда привязка данных включена (настройка по умолчанию), при некоторых условиях в случае удаления объекта длина массива не будет обновлена, что позволяет получить доступ к памяти, которая принадлежала удаленного объекту. Это может вызвать аварийное завершение работы Internet Explorer.
Для эксплуатации данной уязвимость злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает эту веб-страницу, уязвимость позволяет злоумышленнику удаленно выполнить код. В случае успешной эксплуатации злоумышленник получает те же права в системе, что и авторизованный пользователь.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
Ссылки
MS (MS08-078): http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx

Источник: CVE
Наименование: CVE-2008-4844
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844