VDB-14831 · CVE-1999-1575 · MS99-037

Microsoft Internet Explorer 4.01/5.0 Kodak/Wang ActiveX Controls setupctl.dll эскалация привилегий

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
5.7	$0-$5k	0.00

СводкаИнформация

В Microsoft Internet Explorer 4.01/5.0 была найдена уязвимость, классифицированная как критический. Затронута неизвестная функция в библиотеке imgedit.ocx/imgscan.ocx/imgthumb.ocx/imgadmin.ocx/hhopen.ocx/regwizc.dll/setupctl.dll компонента Kodak/Wang ActiveX Controls. Манипуляция приводит к эскалация привилегий. Эта уязвимость обрабатывается как CVE-1999-1575. Есть возможность удалённого запуска атаки. Более того, существует эксплойт. Рекомендуется установить патч для исправления данной уязвимости.

ПодробностиИнформация

В Microsoft Internet Explorer 4.01/5.0 была найдена уязвимость, классифицированная как критический. Затронута неизвестная функция в библиотеке imgedit.ocx/imgscan.ocx/imgthumb.ocx/imgadmin.ocx/hhopen.ocx/regwizc.dll/setupctl.dll компонента Kodak/Wang ActiveX Controls. Манипуляция приводит к эскалация привилегий. Использование CWE для описания проблемы приводит к CWE-269. Вопрос введен в 18.11.1997. Слабость была опубликована 10.09.1999 под идентификатором MS99-037 как Bulletin (Technet). Консультация доступна для скачивания по адресу technet.microsoft.com.

Эта уязвимость обрабатывается как CVE-1999-1575. Назначение CVE произошло 21.04.2005. Есть возможность удалённого запуска атаки. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1068.

Присвоено значение Доказательство концепции. Эксплойт доступен для загрузки на сайте exploit-db.com. Уязвимость обрабатывалась как непубличный эксплойт нулевого дня в течение как минимум 661 дней. В 0-дневный период предполагаемая подземная цена составляла около $25k-$100k.

Имя патча — MS99-037. Исправление уже готово и доступно для скачивания на technet.microsoft.com. Рекомендуется установить патч для исправления данной уязвимости.

Данная уязвимость также присутствует в других базах данных уязвимостей: X-Force (7097).

ПродуктИнформация

Тип

Web Browser

Поставщик

Microsoft

Имя

Internet Explorer

Версия

Лицензия

коммерческий

Поддержка

end of life

Веб-сайт

Поставщик: https://www.microsoft.com/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Базовый балл: 6.3
VulDB Временная оценка: 5.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Exploit-DB: 🔍