Luka w starszych wersjach Internet Explorer

Jak donosi firma Microsoft, w opublikowanym wczoraj Microsoft Security Advisory (913333), w starszych wersjach przeglądarki Internet Explorer znaleziono lukę, która może być wykorzystana do zdalnego uruchomienie kodu.

Z przeprowadzonych analiz wynika, że luka w starszych wersjach przeglądarki Internet Explorer może pozwolić atakującemu na zdalne uruchomienie kodu. Kod może być „dostarczony” do przeglądarki na kilka sposobów:

– poprzez umieszczenie odpowiednio utworzonego obrazu Windows Metafile (WMF) na stronie WWW
– poprzez otwarcie odpowiednio spreparowanego załącznika umieszczonego w wiadomości email
– poprzez kliknięcie w link znajdujący się w wiadomości email, co spowoduje wczytanie odpowiednio spreparowanej strony WWW
– poprzez wysłanie odpowiednio spreparowanego emaila do użytkowników programu Outlook Express, przy czym email taki musi być obejrzany w okienku podglądu

Opisywana podatność, nie jest powiązana z luką opublikowaną w Biuletynie Bezpieczeństwa MS06-001 (912919).

Podatność występuje w:
– Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4
– Internet Explorer 5.5 Service Pack 2 on Microsoft Windows Millennium

Podatność nie dotyczy:
– Internet Explorer for Microsoft Windows XP Service Pack 1 and Windows XP Service Pack 2
– Internet Explorer for Microsoft Windows XP Professional x64 Edition
– Internet Explorer for Microsoft Windows Server 2003 and Windows Server 2003 Service Pack 1
– Internet Explorer for Windows Server 2003 for Itanium-based Systems
– Internet Explorer for Windows Server 2003 with Service Pack 1 for Itanium-based Systems
– Internet Explorer for Windows Server 2003 x64 Edition
– Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4
– Internet Explorer 6 Service Pack 1 on Microsoft Windows 98
– Internet Explorer 6 Service Pack 1 on Microsoft Windows 98 Second Edition
– Internet Explorer 6 Service Pack 1 on Windows Millennium Edition

Więcej informacji w Microsoft Security Advisory (913333).

Źródło informacji: CERT Polska