Microsoft Internet Explorer bis 6.0 Instanzierung von COM-Objekten Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

Zusammenfassunginfo

In Microsoft Internet Explorer bis 6 wurde eine kritische Schwachstelle gefunden. Hiervon betroffen ist ein unbekannter Codeblock der Komponente COM Object Handler. Durch Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2006-1303 statt. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.

Detailsinfo

Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Microsoft machte im Patchday des Monats Juni 2006 gleich 8 Schwachstellen im bekannten Browser mit MS06-021 publik. Eine davon betrifft das Instanzieren von COM-Objekten, die eigentlich nicht für den Internet Explorer vorgesehen waren, wodurch ein Pufferüberlauf umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (26774), Tenable (21685), SecurityFocus (BID 18328†), OSVDB (26442†) und Secunia (SA20595†) dokumentiert. Unter vuldb.com werden zusätzliche Informationen bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-2126, VDB-2289, VDB-2290 und VDB-2292. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 21685 (MS06-021: Cumulative Security Update for Internet Explorer (916281)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 100035 (Cumulative Security Update for Internet Explorer Missing (MS06-021)) zur Prüfung der Schwachstelle an.

Der Internet Explorer und die Instanzierung von nicht für den IEX vorgesehenen COM-Objekten sind sich nicht grün. Die durch den kumulativen Internet Explorer Patch behobene Schwachstelle ist nicht die erste in eine Reihe von COM-Inizierungs Problemen des hauseigenen Webbrowsers.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 21685
Nessus Name: MS06-021: Cumulative Security Update for Internet Explorer (916281)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍

Patch: MS06-021

Snort ID: 6681
Snort Message: WEB-ACTIVEX Windows Media Transform Effects ActiveX CLSID access
Snort Pattern: 🔍

Suricata ID: 2002971
Suricata Klasse: 🔍
Suricata Message: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍

SourceFire IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

20.03.2006 🔍
13.06.2006 +85 Tage 🔍
13.06.2006 +0 Tage 🔍
13.06.2006 +0 Tage 🔍
13.06.2006 +0 Tage 🔍
13.06.2006 +0 Tage 🔍
13.06.2006 +0 Tage 🔍
13.06.2006 +0 Tage 🔍
14.06.2006 +0 Tage 🔍
14.06.2006 +0 Tage 🔍
22.06.2025 +6948 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: MS06-021
Person: Andreas Sandblad
Status: Bestätigt

CVE: CVE-2006-1303 (🔍)
GCVE (CVE): GCVE-0-2006-1303
GCVE (VulDB): GCVE-100-2291

OVAL: 🔍

CERT: 🔍
X-Force: 26774 - Microsoft Internet Explorer DXImageTransform.Microsoft.MMSpecialEffect1Input ActiveX object code execution, High Risk
SecurityFocus: 18328 - Microsoft Internet Explorer COM Object Instantiation Code Execution Vulnerability Variant
Secunia: 20595 - Microsoft Internet Explorer Multiple Vulnerabilities, Highly Critical
OSVDB: 26442 - Microsoft IE Wmm2fxa.dll DXImageTransform COM Object Memory Corruption
SecurityTracker: 1016291 - Microsoft Internet Explorer Multiple Memory and Access Control Errors Let Remote Users Execute Arbitrary Code
Vulnerability Center: 11911 - [MS06-021] Internet Explorer Code Execution via COM Objects Instantiation, Medium
Vupen: ADV-2006-2319

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 14.06.2006 12:22
Aktualisierung: 22.06.2025 05:23
Anpassungen: 14.06.2006 12:22 (95), 08.10.2018 15:44 (11), 13.03.2021 07:52 (3), 20.01.2025 06:00 (15), 22.06.2025 05:23 (2)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!