Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer
(10.0, 11.0, 8.0, 9.0)
Microsoft Updates
(KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275)
Описание
Уязвимость, позволяющая обойти фильтр XSS (межсайтового выполнения сценариев), существует в Internet Explorer из-за отключения атрибута HTML в надлежащим образом отфильтрованных данных HTTP-ответа. Уязвимость позволяет запустить изначально отключенные сценарии в ненадлежащем контексте безопасности, приводя к раскрытию информации. Эксплуатация данной уязвимости позволяет злоумышленнику выполнить сценарий в системе пользователя под видом стороннего веб-сайта. Подобный сценарий запускается в браузере при посещении стороннего сайта, после чего он может выполнять любые, разрешенные данному сайту, действия в системе пользователя. Для эксплуатации уязвимости необходимо, чтобы пользователь перешел по гиперссылке из электронного письма в формате HTML, на сайте злоумышленника или на сайте, содержащем вредоносный контент.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/security/bulletin/ms14-080
http://technet.microsoft.com/security/bulletin/ms14-080
Ссылки
MS (14-080): http://technet.microsoft.com/security/bulletin/ms14-080
Источник: CVE
Наименование: CVE-2014-6365
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6365
Источник: CVE
Наименование: CVE-2014-6365
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6365