VDB-438 · CVE-2003-1025 · VU#652278

Microsoft Internet Explorer 6 em Windows/Mac Elevação de Privilégios

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.9	$0-$5k	0.00

Sumárioinformação

Detectou-se uma vulnerabilidade classificada como crítico em Microsoft Internet Explorer 6 no Windows/Mac. O elemento afetado é uma função não identificada. A utilização com o valor %01@ pode causar Elevação de Privilégios. Esta vulnerabilidade é identificada como CVE-2003-1025. Existe a possibilidade de executar o ataque de forma remota. Além disso, um exploit está disponível. Recomenda-se substituir o componente afetado por uma alternativa.

Detalhesinformação

Detectou-se uma vulnerabilidade classificada como crítico em Microsoft Internet Explorer 6 no Windows/Mac. O elemento afetado é uma função não identificada. A utilização com o valor %01@ pode causar Elevação de Privilégios. Ao utilizar CWE para declarar o problema, isso direciona para CWE-20. O erro foi introduzido em 22/03/2001. A falha foi publicada 09/12/2003 por Zap The Dingbat como Posting (Bugtraq). O comunicado foi disponibilizado para download em securityfocus.com.

Esta vulnerabilidade é identificada como CVE-2003-1025. A atribuição do identificador CVE aconteceu em 06/01/2004. Existe a possibilidade de executar o ataque de forma remota. Há detalhes técnicos disponíveis. Esta vulnerabilidade é mais popular do que a média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente.

Foi declarado como prova de conceito. O exploit foi compartilhado para download em zapthedingbat.com. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 992 dias. Como 0-day, o preço estimado no mercado clandestino era em torno de $25k-$100k. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 100004 (Microsoft Internet Explorer Cumulative Security Update Not Installed (MS04-004)).

O patch pode ser baixado em windowsupdate.microsoft.com. Recomenda-se substituir o componente afetado por uma alternativa.

Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 9182), X-Force (13935) e Vulnerability Center (SBV-3663).

Produtoinformação

Tipo

Web Browser

Fabricante

Microsoft

Nome

Internet Explorer

Versão

Licença

comercial

Apoio

end of life

Site

Fabricante: https://www.microsoft.com/

CPE 2.3informação

🔍

CPE 2.2informação

🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.4
VulDB Meta Pontuação Temporária: 4.9

VulDB Pontuação Base: 5.4
VulDB Pontuação Temporária: 4.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

OpenVAS ID: 10861
OpenVAS Nome: IE 5.01 5.5 6.0 Cumulative patch (890923)
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Exploit-DB: 🔍