Microsoft Internet Explorer OBJECT memory corruption

A vulnerability, which was classified as critical, has been found in Microsoft Internet Explorer (Web Browser) (affected version not known). Affected by this issue is an unknown functionality of the component OBJECT Handler. Applying the patch MS03-020 is able to eliminate this problem. The bugfix is ready for download at microsoft.com.

Timeline

The analysis of the timeline helps to identify the required approach and handling of single vulnerabilities and vulnerability collections. This overview makes it possible to see less important slices and more severe hotspots at a glance. Initiating immediate vulnerability response and prioritizing of issues is possible.

User

144

Field

vulnerability_cwe1
vulnerability_cvss3_meta_basescore1
advisory_date1
vulnerability_cvss3_vuldb_a1
vulnerability_cvss3_vuldb_i1

Commit Conf

100%42
90%7
96%4
60%2
95%2

Approve Conf

100%42
90%7
96%4
60%2
95%2
IDCommitedUserFieldChangeRemarksAcceptedReasonC
699305/07/2019VulD...cwe119 (memory corruption)05/07/2019accepted
90
694505/07/2019VulD...typeWeb Browser05/07/2019accepted
100
700106/04/2003VulD...cvss3_vuldb_prLsee CVSS documentation06/04/2003accepted
60
700006/04/2003VulD...cvss2_vuldb_auSsee CVSS documentation06/04/2003accepted
60
699906/04/2003VulD...cvss3_vuldb_rcCsee CVSS documentation06/04/2003accepted
90
699806/04/2003VulD...cvss3_vuldb_rlOsee CVSS documentation06/04/2003accepted
90
699706/04/2003VulD...cvss3_vuldb_ePsee CVSS documentation06/04/2003accepted
90
699606/04/2003VulD...cvss2_vuldb_rcCsee CVSS documentation06/04/2003accepted
90
699506/04/2003VulD...cvss2_vuldb_rlOFsee CVSS documentation06/04/2003accepted
90
699406/04/2003VulD...cvss2_vuldb_ePOCsee CVSS documentation06/04/2003accepted
90
699206/04/2003VulD...expertDiese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. Da ein Beispiel-Exploit für einen Denial of Service-Angriff im Bugtraq-Posting enthalten war, ist es nur eine Frage der Zeit, bis dieser Angriff erfolgreich im World Wide Web angetroffen werden kann. Vor allem Skript-Kiddies und Anbieter von Dialern werden diese Methode für ihre Zwecke nutzen wollen. Es ist kein Geheimnis, dass ActiveX nicht unbedingt den besten Ruf in Bezug auf die Sicherheit geniesst. So sollte man bei Nichtgebrauch auf die Interpretation dessen verzichten. Zudem gilt es den durch Microsoft freigegebenen Patch zu installieren.06/04/2003accepted
100
699106/04/2003VulD...descriptionDer Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Durch eine Sicherheitslücke im beliebten Webbrowser ist es einem Angreifer möglich, beliebigen Programmcode mit den Rechten des Benutzers ausführen zu lassen. Dazu wird ein Pufferüberlauf bei der Interpretierung des object-Tags ausgenutzt, wie im entsprechenden Bugtraq-Posting aufgezeigt wird. Dieser Tag wird von Webdesignern herangezogen, um ActiveX-Komponenten in HTML-Dokumenten einzufügen. Die Attacke lässt sich über sämtliche Programme ausführen, die auf die Internet Explorer-Komponente zurückgreifen (z.B. Auch Outlook). Microsoft berichtet, dass ihr Internet Explorer auf dem Windows 2003 Server standardmässig mit einer optimierten Sicherheitskonfiguration ausgeliefert wird. Der Angriff ist sodann nicht möglich, sofern keine Änderungen an den Einstellungen (z.B. Interpretierung von ActiveX-Elementen) vorgenommen wurden. Microsoft hat einen kumulativen Patch veröffentlicht, der die Sicherheitslücke beseitigt. Neben der beschriebenen Schwachstelle behebt er eine weitere, bereits bekannte Verwundbarkeit. Der Patch kann seit heute morgen (ca. 9:30 Uhr) über das Windows Update bezogen werden.06/04/2003accepted
100
699006/04/2003VulD...affectedMicrosoft Internet Explorer 5.01, 5.5 und 6.006/04/2003accepted
100
698906/04/2003VulD...titleMicrosoft Internet Explorer object-Tag Pufferüberlauf06/04/2003accepted
100
698706/04/2003VulD...seealso6506/04/2003accepted
100
698606/04/2003VulD...patch_urlhttp://www.microsoft.com/technet/security/bulletin/MS03-020.aspmicrosoft.com06/04/2003accepted
100
698506/04/2003VulD...patch_nameMS03-02006/04/2003accepted
100
698406/04/2003VulD...namePatch06/04/2003accepted
100
698306/04/2003VulD...price_trend-see exploit price documentation06/04/2003accepted
100

38 more entries are not shown

Do you want to use VulDB in your project?

Use the official API to access entries easily!