Microsoft IE CSS字符串内存破坏漏洞(MS07-045)

2007-08-17T00:00:00
ID SSV:2120
Type seebug
Reporter Root
Modified 2007-08-17T00:00:00

Description

BUGTRAQ ID: 25288 CVE(CAN) ID: CVE-2007-0943

Internet Explorer是微软发布的非常流行的WEB浏览器。

IE 5.0在解析样式表(CSS)文件时存在安全漏洞,远程攻击者可能利用此漏洞控制用户系统。

由于没有对数据指针进行必要的检查,当处理特殊格式的CSS文件时,会造成指针越界,并改写内存数据。通过精心构造数据,攻击着可能远程执行任意指令。攻击者可以创建恶意WEB页面诱使用户访问,从而以该用户身份执行任意任意命令。如果该用户是管理员,则攻击者可以完全控制用户所在系统。即使将IE的安全级别设置为高,用户仍然会受此漏洞影响。

Microsoft Internet Explorer 5.01 Microsoft已经为此发布了一个安全公告(MS07-045)以及相应补丁: MS07-045:Cumulative Security Update for Internet Explorer (937143) 链接:<a href="http://www.microsoft.com/technet/security/Bulletin/MS07-045.mspx?pf=true" target="_blank">http://www.microsoft.com/technet/security/Bulletin/MS07-045.mspx?pf=true</a>