Microsoft Internet Explorer ActiveX控件禁止设置绕过漏洞

漏洞信息详情

Microsoft Internet Explorer ActiveX控件禁止设置绕过漏洞

• CNNVD编号：CNNVD-200601-357
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-0057
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2006-01-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-30
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Will Dormann

Internet Explorer是Microsoft开发的非常流行的WEB浏览器，它提供对ActiveX控件的支持以实现强大的交互功能。

Internet Explorer处理ActiveX的执行时存在漏洞，攻击者可能绕过某个ActiveX的禁止设置获得非授权的执行。当某个ActiveX控件被发现存在漏洞时，用户可以在IE里设置禁止执行此控件，在执行控件前IE会检查特定的注册表键值以决定是否执行，如果为特定的值，则不执行。IE被发现存在漏洞，特定构造的HTML页面可以绕过IE的禁止设置，使恶意ActiveX控件被执行。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

来源: US-CERT

名称: VU#998297

链接:http://www.kb.cert.org/vuls/id/998297

来源: MISC

链接:http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

来源: XF

名称: ie-activex-killbit-bypass(24379)

链接:http://xforce.iss.net/xforce/xfdb/24379

来源: BID

名称: 16409

链接:http://www.securityfocus.com/bid/16409

来源: OSVDB

名称: 23657

链接:http://www.osvdb.org/23657