Уязвимость удаленного выполнения кода в движке сценариев из-за некорректной обработки объектов в памяти в Internet Explorer
Описание
Эта уязвимость способна повредить память таким образом, что злоумышленник может выполнить произвольный код от имени текущего пользователя. Если текущий пользователь зашел с правами администратора, злоумышленник, успешно эксплуатировавший уязвимость, способен получить контроль над затронутой системой. Злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.
Условия эксплуатации
- Злоумышленник может создать специально разработанный веб-сайт, предназначенный для эксплуатации данной уязвимости через Internet Explorer, и убедить пользователя посетить этот сайт.
- Злоумышленник может встроить ActiveX-контроль, помеченный как "безопасный для инициализации", в приложение или документ Microsoft Office, который использует движок рендеринга IE.
- Злоумышленник может воспользоваться скомпрометированными веб-сайтами и сайтами, которые принимают или размещают пользовательский контент или рекламу. Эти веб-сайты могут содержать специально подготовленный контент, который способен эксплуатировать уязвимость.
Решение
Обновление безопасности устраняет уязвимость, изменяя способ, которым движок сценариев обрабатывает объекты в памяти.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Internet Explorer 10 on Windows Server 2012 | ||
| Internet Explorer 11 on Windows 8.1 for 32-bit systems | ||
| Internet Explorer 11 on Windows 8.1 for x64-based systems | ||
| Internet Explorer 11 on Windows Server 2012 R2 | ||
| Internet Explorer 9 on Windows Vista x64 Edition Service Pack 2 | ||
| Internet Explorer 9 on Windows Server 2008 for 32-bit Systems Service Pack 2 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
The scripting engine in Microsoft Internet Explorer 9 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Scripting Engine Memory Corruption Vulnerability." This vulnerability is different from that described in CVE-2017-0040.
The scripting engine in Microsoft Internet Explorer 9 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka "Scripting Engine Memory Corruption Vulnerability." This vulnerability is different from that described in CVE-2017-0040.
Уязвимость браузера Internet Explorer, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
EPSS
7.5 High
CVSS3