Microsoft IE COM对象实例化内存破坏漏洞(MS06-042)

CNNVD-ID编号 CNNVD-200608-118
CVE编号 CVE-2006-3638
发布时间 2006-08-08
更新时间 2006-08-21
漏洞类型 缓冲区溢出
漏洞来源 Cody PierceWill Dormann
危险等级 高危
威胁类型 远程
厂 商 microsoft

漏洞介绍

Microsoft Internet Explorer是微软发布的非常流行的WEB浏览器。

Microsoft Internet Explorer在处理COM控件初始化时存在漏洞,远程攻击者可能利用此漏洞在用户机器上执行任意指令。

如果没有正确地调用Nth()方法的话,则DirectAnimation.DATuple ActiveX控件中存在内存破坏漏洞。攻击者可以提供正整数来控制数据引用计算,然后控制执行。这个漏洞的起因是在调用danim.dll中的TupleNthBvrImpl::GetTypeInfo()时对索引缺少过滤检查。如果用户受骗访问了恶意站点的话就可能触发这个漏洞,导致执行任意代码。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源