MS07-016: Kumulatives Update für den Internet Explorer
Drei Lücken behebt dieses neue Update für den Internet Explorer. Zwei davon betreffen COM-Objekte, die eigentlich nicht vom IE als ActiveX-Controls instanziiert werden sollten. Das vergessene Kill-Bit setzt Microsoft nun zusätzlich für Imjpcksid.dll, Imjpskdic.dll, Msb1fren.dll, Htmlmm.ocx und Blnmgrps.dll gesetzt.
Die dritte Lücke betrifft das Parsen von Antworten eines FTP-Servers. Hier können speziell geformte Strings dazu führen, dass Systemspeicher überschrieben wird.
Alle drei Lücken erlauben das Ausführen beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers. Der Angreifer muss das Opfer lediglich dazu bewegen, eine speziell präparierte HTML-Seite anzuschauen oder im Fall der dritten Lücken einen entsprechenden FTP-Server anzusteuern.
Laut Microsoft sind die Lücken im IE7 lediglich unter Windows XP und Server 2003 relevant, Windows Vista wird nicht als betroffen gekennzeichnet.
|
Datum |
12.02.2007 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
IE5, IE6 und IE7 |
|
Auswirkung |
Ausführen beliebigen Codes |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |