Microsoft Internet Explorer bis 6.0 OBJECT-Tag Temporary Internet Files erweiterte Leserechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Microsoft Internet Explorer bis 6 entdeckt. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente HTML Handler. Durch das Manipulieren des Arguments OBJECT mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2006-5577 bekannt. Der Angriff kann über das Netzwerk angegangen werden. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.
Details
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 2006 wurden vier kritische Schwachstellen in den Versionen bis 6.0 behoben. So hat Microsoft herausgefunden, so wird es in MS06-072 (KB925454) dokumentiert, dass dank einem Fehler bei der Interpretation des OBJECT-Tags erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 2006 zum Download zur Verfügung. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (30604), Tenable (23833), SecurityFocus (BID 21507†), OSVDB (30816†) und Secunia (SA23288†) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-2733, VDB-2734, VDB-2735 und VDB-33791. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 23833 (MS06-072: Cumulative Security Update for Internet Explorer (925454)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90371 (Cumulative Security Update for Internet Explorer (MS06-072)) zur Prüfung der Schwachstelle an.
Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.9
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 23833
Nessus Name: MS06-072: Cumulative Security Update for Internet Explorer (925454)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: MS06-072
Timeline
27.10.2006 🔍12.12.2006 🔍
12.12.2006 🔍
12.12.2006 🔍
12.12.2006 🔍
13.12.2006 🔍
14.12.2006 🔍
15.06.2025 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS06-072
Person: Yorick Koster
Status: Bestätigt
CVE: CVE-2006-5577 (🔍)
GCVE (CVE): GCVE-0-2006-5577
GCVE (VulDB): GCVE-100-2736
OVAL: 🔍
X-Force: 30604
SecurityFocus: 21507 - Microsoft Internet Explorer Object Tag TIF Folder Information Disclosure Vulnerability
Secunia: 23288 - Internet Explorer Multiple Vulnerabilities, Highly Critical
OSVDB: 30816
SecurityTracker: 1017374 - Microsoft Internet Explorer May Disclose Contents of the Temporary Internet Files Folder to Remote Users
Vulnerability Center: 13304 - [MS06-072] Microsoft Internet Explorer TIF Folder Information Disclosure via OBJECT HTML Tags, Medium
Vupen: ADV-2006-4966
Heise: 82436
Siehe auch: 🔍
Eintrag
Erstellt: 14.12.2006 14:15Aktualisierung: 15.06.2025 20:23
Anpassungen: 14.12.2006 14:15 (59), 07.04.2017 12:01 (20), 13.03.2021 17:00 (8), 13.03.2021 17:05 (1), 15.03.2021 06:25 (2), 15.06.2025 20:23 (16)
Komplett: 🔍
Cache ID: 216:39C:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.