Microsoft Internet Explorer bis 6.0 HTML-Tags mehrere Event-Handler Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $5k-$25k | 0.00 |
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Michal Zalewski endeckte in Microsoft Internet Explorer bis 6.0 einen Denial of Service-Fehler. Und zwar kann der Webbrowser zum Absturz gebracht werden, wenn innerhalb eines HTML-Tags mehr als 94 Event-Handler genutzt werden. Ein Webmaster könnte über ein simples Dokument den Browser der Besucher abstürzen lassen. Genaue technische Details sind nicht bekannt. Als Workaround wird empfohlen, entweder auf einen anderen Browser zu setzen (z.B. Mozilla Firefox) oder wirklich nur Ressourcen vertrauenswürdiger Herkunft anzeigen zu lassen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (25292) und Tenable (21210) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 2102, 2110, 2138 und 2146.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 21210 (MS06-013: Cumulative Security Update for Internet Explorer (912812)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 100034 (Microsoft Internet Explorer Cumulative Security Update Missing (MS06-013)) zur Prüfung der Schwachstelle an.
Wieder eine Denial of Service-Sicherheitslücke im Microsoft Internet Explorer. Nachträglich scheint es schon fast unglaublich, wieviele Fehler Microsoft bei der Entwicklung des Browsers unterlaufen ist. Langsam aber sicher sollten alle Benutzer eingesehen haben, dass dieses Produkt definitiv keinen Preis für Sicherheit gewinnen wird. Ein Umstieg auf ein anderes Produkt wie Netscape oder Firebird wird immer naheliegender.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
ATT&CK: T1499
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 21210
Nessus Name: MS06-013: Cumulative Security Update for Internet Explorer (912812)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
Patch: windowsupdate.microsoft.com
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
16.03.2006 🔍16.03.2006 🔍
16.03.2006 🔍
17.03.2006 🔍
20.03.2006 🔍
20.03.2006 🔍
20.03.2006 🔍
26.03.2006 🔍
12.03.2021 🔍
Quellen
Hersteller: microsoft.comAdvisory: archives.neohapsis.com
Person: Michal Zalewski
Status: Bestätigt
CVE: CVE-2006-1245 (🔍)
OVAL: 🔍
X-Force: 25292 - Microsoft Internet Exporer mshtml.dll buffer overflow, High Risk
SecurityTracker: 1015794 - (Vendor Issues Fix) Microsoft Internet Explorer 'mshtml.dll' Bug in Processing Multiple Action Handlers Lets Remote Users Deny Service
Vulnerability Center: 10807 - [MS06-013] Internet Explorer Buffer Overflow via mshtml.dll, Medium
SecurityFocus: 17131 - Microsoft Internet Explorer Script Action Handler Buffer Overflow Vulnerability
Secunia: 19269 - Internet Explorer Multiple Event Handlers Memory Corruption Vulnerability, Highly Critical
OSVDB: 23964
Vupen: ADV-2006-1318
Siehe auch: 🔍
Eintrag
Erstellt: 20.03.2006 17:33Aktualisierung: 12.03.2021 14:28
Anpassungen: 20.03.2006 17:33 (57), 07.04.2017 12:01 (38), 12.03.2021 14:21 (3), 12.03.2021 14:28 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.