Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer
(5.01, 5.01 SP4, 6.0, 6.0 SP1, 7.0)
Microsoft Updates
(KB2183461, KB2360131, KB2416400, KB2482017, KB2497640, KB2530548, KB2559049, KB2586448, KB2618444, KB2647516, KB2675157, KB2699988, KB2719177, KB2722913, KB2744842, KB2761451, KB2761465, KB2792100, KB2809289, KB2817183, KB2829530, KB2838727, KB2846071, KB2862772, KB2870699, KB2879017, KB2888505, KB2898785, KB2909921, KB2919355, KB2925418, KB2936068, KB2957689, KB2962872, KB2963950, KB2963952, KB2976627, KB2977629, KB2987107, KB3003057, KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275, KB960714, KB961260, KB963027, KB969897, KB972260, KB974455, KB976325, KB978207, KB980182, KB982381, SP0, SP1, SP2)
Описание
Удаленное выполнение кода возможно из-за уязвимости, связанной с обращением к некорректному указателю в функции привязки данных в Internet Explorer. Когда привязка данных включена (настройка по умолчанию), при некоторых условиях в случае удаления объекта длина массива не будет обновлена, что позволяет получить доступ к памяти, которая принадлежала удаленного объекту. Это может вызвать аварийное завершение работы Internet Explorer.
Для эксплуатации данной уязвимость злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает эту веб-страницу, уязвимость позволяет злоумышленнику удаленно выполнить код. В случае успешной эксплуатации злоумышленник получает те же права в системе, что и авторизованный пользователь.
Для эксплуатации данной уязвимость злоумышленник должен создать специально сформированную веб-страницу. Когда пользователь просматривает эту веб-страницу, уязвимость позволяет злоумышленнику удаленно выполнить код. В случае успешной эксплуатации злоумышленник получает те же права в системе, что и авторизованный пользователь.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
Ссылки
MS (MS08-078): http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
Источник: CVE
Наименование: CVE-2008-4844
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
Источник: CVE
Наименование: CVE-2008-4844
URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844