Microsoft Internet Explorer fino a 10 Event mshtml.dll negazione del servizio
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Riassunto
È stata individuata una vulnerabilità classificata come critico in Microsoft Internet Explorer 6/7/8/9/10. Da questa vulnerabilità è interessato una funzione sconosciuta nella libreria mshtml.dll del componente Event Handler. Attraverso l'influenza di un input sconosciuto per mezzo di una vulerabilità di classe negazione del servizio. CVE-2013-3897 è identificato come punto debole. L'attacco può avvenire nella rete. Inoltre, è presente un exploit disponibile. È consigliato applicare una patch per mitigare questo problema.
Dettagli
Un punto di criticita di livello critico è stato rilevato in Microsoft Internet Explorer 6/7/8/9/10 (Web Browser). É interessato una funzione sconosciuta nella libreria mshtml.dll del componente Event Handler. Mediante la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe negazione del servizio. Gli effetti sono noti per riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 08/10/2013 da Hoodie22 da National Cyber Security Centre of the Netherlands con identificazione MS13-080 con un bulletin (Technet) (confermato). L'advisory è scaricabile da technet.microsoft.com. La pubblicazione è avvenuta in collaborazione con il produttore. Questo punto di criticità è identificato come CVE-2013-3897. La vulnerabilità è relativamente apprezzata, anche se ha un'alta complessità. L'attacco può essere lanciato dalla rete. Per l'uso non è richiesta un'autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.
L'exploit è scaricabile da exploit-db.com. È stato dichiarato come attaccato. Per almeno 4583 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Per lo scanned Nessus, è disponibile un plugin, numero ID 70332 (MS13-080: Cumulative Security Update for Internet Explorer (2879017)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Applicando la patch MS13-080 è possibile eliminare il problema. Il bugfix è scaricabile da technet.microsoft.com. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (87595), Exploit-DB (28974), Zero-Day.cz (306), Tenable (70332) e OSVDB (98207†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
Supporto
Sito web
- Fornitore: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 8.0VulDB Punteggio meta temporaneo: 7.9
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 6.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 8.8
NVD Vettore: 🔍
ADP CISA Punteggio di base: 8.8
ADP CISA Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Negazione del servizioCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Attaccato
Scaricare: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Aggiunto: 🔍
KEV Entro quando: 🔍
KEV Contromisure: 🔍
KEV Ransomware: 🔍
KEV Avviso: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 70332
Nessus Nome: MS13-080: Cumulative Security Update for Internet Explorer (2879017)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
OpenVAS ID: 803867
OpenVAS Nome: Microsoft Internet Explorer Multiple Memory Corruption Vulnerabilities (2879017)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Saint ID: exploit_info/ie_cdisplaypointer_onpropertychange_uaf
Saint Nome: Internet Explorer CDisplayPointer Object onpropertychange Use-After-Free
Qualys ID: 🔍
Qualys Nome: 🔍
MetaSploit ID: ms13_080_cdisplaypointer.rb
MetaSploit Nome: MS13-080 Microsoft Internet Explorer CDisplayPointer Use-After-Free
MetaSploit File: 🔍
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Patch: MS13-080
Suricata ID: 2017572
Suricata Classe: 🔍
Suricata Messaggio: 🔍
TippingPoint: 🔍
McAfee IPS Versione: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Sequenza temporale
22/03/2001 🔍03/06/2013 🔍
10/08/2013 🔍
08/10/2013 🔍
08/10/2013 🔍
09/10/2013 🔍
09/10/2013 🔍
09/10/2013 🔍
22/04/2026 🔍
Fonti
Fornitore: microsoft.comAvis: MS13-080
Ricercatore: Hoodie22
Organizzazione: National Cyber Security Centre of the Netherlands
Stato: Confermato
Conferma: 🔍
Coordinato: 🔍
CVE: CVE-2013-3897 (🔍)
GCVE (CVE): GCVE-0-2013-3897
GCVE (VulDB): GCVE-100-10627
OVAL: 🔍
IAVM: 🔍
X-Force: 87595
OSVDB: 98207 - Microsoft IE Unspecified Memory Corruption (2013-3897)
Vulnerability Center: 41829 - [MS13-080] Microsoft Internet Explorer 6-11 on Workstations Remote Code Execution Vulnerability - CVE-2013-3897, Critical
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 09/10/2013 11:15Aggiornato: 22/04/2026 14:47
Cambiamenti: 09/10/2013 11:15 (59), 07/04/2017 12:04 (38), 26/05/2021 12:17 (8), 26/05/2021 12:24 (1), 23/04/2024 09:48 (24), 13/07/2024 19:02 (2), 16/07/2024 23:31 (12), 09/09/2024 22:29 (1), 29/06/2025 09:33 (3), 22/04/2026 14:47 (11)
Completa: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.