Inhalte überspringen »
Security aktuell
Donnerstag, 19. Juni 2008 - aktualisierte Meldung
Verwendung unvollständiger Pfade beim Laden von DLLs
Systeme:
Windows
Programm:
Microsoft Internet Explorer
Programmversion:
7
Programmlink:
Lösung:
Eine Lösung ist nicht verfügbar.
Nachtrag 15.12.:
Die Schwachstelle kann ausgenutzt werden, um über eine manipulierte DLL beliebigen Code auszuführen.
Nachtrag 13.6.08:
Die Schwachstelle wird im Zusammenhang mit Safaris Default-Downloadverzeichnis (dem Desktop) ausgenutzt, um aus der Ferne beliebige Code auszuführen.
Nachtrag 20.6.08:
Apple hat die Schwachstelle in Safari Version 3.1.2 behoben, indem eine Nachfrage vor automatischen Downloads eingefügt und das Default-Download-Verzeichnis geändert wurde.
Die Schwachstelle im Internet Explorer ist weiterhin vorhanden und kann evtl. über andere Programme und/oder Social Engineering ausgenutzt werden.
Eine Lösung ist nicht verfügbar.
Nachtrag 15.12.:
Die Schwachstelle kann ausgenutzt werden, um über eine manipulierte DLL beliebigen Code auszuführen.
Nachtrag 13.6.08:
Die Schwachstelle wird im Zusammenhang mit Safaris Default-Downloadverzeichnis (dem Desktop) ausgenutzt, um aus der Ferne beliebige Code auszuführen.
Nachtrag 20.6.08:
Apple hat die Schwachstelle in Safari Version 3.1.2 behoben, indem eine Nachfrage vor automatischen Downloads eingefügt und das Default-Download-Verzeichnis geändert wurde.
Die Schwachstelle im Internet Explorer ist weiterhin vorhanden und kann evtl. über andere Programme und/oder Social Engineering ausgenutzt werden.
Quellen:
- Internet Explorer 7 - Still Spyware Writers' Heaven
- Nachtrag 15.12.: IE7 DLL-load hijacking Code Execution Exploit PoC
- Nachtrag 13.6.08: Security aktuell: Kombination des Default-Download-Verzeichnisses von Safari (dem Desktop) und der Behandlung ausführbarer Dateien durch den Windows-Desktop erlaubt über eine bösartige Webseite die Ausführung beliebigen Codes
Status:
offen Erklärung
