Internet Explorer
Уязвимости
2415
Эксплуатируемые
43
Макс. CVSS
10
Макс. EPSS
0.9986
Распределение по критичности
Критический
1066
Высокий
697
Средний
560
Низкий
92
Затронутые диапазоны версий
6.0–6.00.2900.21807.0–7.0.6000.16711< 7≤ 4.0.1≤ 5.01≤ 5.5≤ 6≤ 6.0≤ 6.0.2900≤ 6.0.2900.2180≤ 7≤ 7.0≤ 8≤ 9
Также сопоставлено как (исходные строки): windows_server_2003,windows_xp,windows_server_2008,windows_2000,edge,internet explorer,internet_explorer,ie,online_merchant,windows_2003_server,windows_vista,star_command_center
Топ уязвимостей
CVE-2014-1764Microsoft Internet Explorer версий 7–11 позволяет удаленным злоумышленникам выполнять произвольный код и обходить механизм защиты «песочницы», используя «путаницу объектов» в процессе брокера, как было продемонстрировано компанией VUPEN во время конкурса Pwn2Own на конференции CanSecWest 2014.
CVE-2014-1763Уязвимость use-after-free в Microsoft Internet Explorer 9-11 позволяет удаленным злоумышленникам выполнять произвольный код и обходить механизм защиты песочницы через неуказанные векторы, как продемонстрировано VUPEN во время соревнования Pwn2Own на CanSecWest 2014.
CVE-2013-1489Неуказанная уязвимость в компоненте Java Runtime Environment (JRE) в Oracle Java SE 7 Update 10 и Update 11, при работе в Windows с использованием Internet Explorer, Firefox, Opera и Google Chrome, позволяет удаленным злоумышленникам обходить уровень безопасности "Очень высокий" панели управления Java и выполнять неподписанный код Java без запроса пользователя через неизвестные векторы, также известный как "Issue 53" и уязвимость "Java Security Slider".
CVE-2010-1118Неуказанная уязвимость в Internet Explorer 8 в Microsoft Windows 7 позволяет удаленным злоумышленникам выполнять произвольный код через неизвестные векторы, возможно, связанные с проблемой использования после освобождения, как продемонстрировал Питер Врёгденхил во время конкурса Pwn2Own на CanSecWest 2010.
CVE-2009-1918Microsoft Internet Explorer 5.01 SP4 и 6 SP1; Internet Explorer 6 для Windows XP SP2 и SP3 и Server 2003 SP2; и Internet Explorer 7 и 8 для Windows XP SP2 и SP3, Server 2003 SP2, Vista Gold, SP1 и SP2, и Server 2008 Gold и SP2 неправильно обрабатывают операции с таблицами, что позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный HTML-документ, который вызывает повреждение памяти путем добавления некорректных элементов в пустой элемент DIV, связанный с методом getElementsByTagName, aka "HTML Objects Memory Corruption Vulnerability".
CVE-2009-1043Неуказанная уязвимость в Microsoft Internet Explorer 8 на Windows 7 позволяет удаленным злоумышленникам выполнять произвольный код через неизвестные векторы, вызванные нажатием на ссылку, как продемонстрировал Нильс во время соревнования PWN2OWN на CanSecWest 2009.
CVE-2007-3341Неуказанная уязвимость в реализации FTP в Microsoft Internet Explorer позволяет удаленным злоумышленникам "видеть допустимый адрес памяти" через неуказанные векторы, проблема, отличная от CVE-2007-0217.
CVE-2007-3111Переполнение буфера в элементе управления ActiveX Provideo Camimage в ISSCamControl.dll 1.0.1.5, когда Internet Explorer 6 используется в Windows 2000 SP4, позволяет удаленным злоумышленникам выполнять произвольный код через длинное значение свойства URL.
CVE-2007-2938Переполнение буфера в элементе управления ActiveX BaseRunner в модуле Ademco ATNBaseLoader100 (ATNBaseLoader100.dll) 5.4.0.6, при использовании Internet Explorer 6, позволяет удаленным злоумышленникам выполнять произвольный код через длинный аргумент в методе (1) Send485CMD и, возможно, в методах (2) SetLoginID, (3) AddSite, (4) SetScreen и (5) SetVideoServer.
CVE-2007-0219Microsoft Internet Explorer 5.01, 6 и 7 использует определенные COM-объекты из (1) Msb1fren.dll, (2) Htmlmm.ocx и (3) Blnmgrps.dll в качестве элементов управления ActiveX, что позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы, проблема, отличная от CVE-2006-4697.
CVE-2007-0217Код FTP-клиента wininet.dll в Microsoft Internet Explorer 5.01 и 6 может позволить удаленным злоумышленникам выполнять произвольный код через ответ FTP-сервера определенной длины, который приводит к записи завершающего нулевого байта за пределами буфера, что вызывает повреждение кучи.
CVE-2006-2382Переполнение буфера на основе кучи в Microsoft Internet Explorer 5.01 SP4 и 6 SP1 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный HTML-код в кодировке UTF-8, что приводит к расхождениям в размере при преобразовании в Unicode, также известное как "HTML Decoding Memory Corruption Vulnerability".
CVE-2006-1190Microsoft Internet Explorer 5.01–6 не всегда возвращает правильную информацию IOleClientSite при динамическом создании внедренного объекта, что может привести к тому, что Internet Explorer запустит объект в неправильном контексте безопасности или зоне, и позволит удаленным злоумышленникам выполнять произвольный код.
CVE-2006-1189Переполнение буфера в URLMON.DLL в Microsoft Internet Explorer 5.01–6 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный URL-адрес с международным доменным именем (IDN) с использованием двухбайтовых наборов символов (DBCS), также известное как «Уязвимость повреждения памяти при анализе двухбайтовых символов».
CVE-2006-1186Microsoft Internet Explorer 5.01–6 позволяет удаленным злоумышленникам выполнять произвольный код путем создания экземпляра COM-объектов (1) Mdt2gddr.dll, (2) Mdt2dd.dll и (3) Mdt2gddo.dll в качестве элементов управления ActiveX, что приводит к повреждению памяти.
CVE-2004-1050Переполнение буфера на основе кучи в Internet Explorer 6 позволяет удаленным злоумышленникам выполнять произвольный код через длинные атрибуты (1) SRC или (2) NAME в элементах IFRAME, FRAME и EMBED, как первоначально было обнаружено с использованием утилиты mangleme, также известной как "уязвимость IFRAME" или "уязвимость HTML-элементов".
CVE-2004-0978Переполнение буфера на основе кучи в ActiveX-элементе Hrtbeat.ocx (Heartbeat) для Internet Explorer 5.01 - 6, когда пользователи посещают игровые сайты, связанные с MSN, позволяет удаленным злоумышленникам выполнять произвольный код через параметр SetupData.
CVE-2004-0549Элемент управления WebBrowser ActiveX или механизм рендеринга HTML Internet Explorer (MSHTML), используемый в Internet Explorer 6, позволяет удаленным злоумышленникам выполнять произвольный код в контексте локальной безопасности, используя метод showModalDialog и изменяя местоположение для выполнения кода, такого как Javascript, как продемонстрировано с использованием (1) операций отложенного HTTP-перенаправления и HTTP-ответа с заголовком Location:, содержащим префикс "URL:" к URI протокола "ms-its", или (2) изменяя атрибут location окна, как это используется Download.ject (aka Scob aka Toofer) с использованием объекта ADODB.Stream.
CVE-2004-0420Приложение Windows Shell в Windows 98, Windows ME, Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003 позволяет удаленным злоумышленникам выполнить произвольный код, подделав тип файла с помощью спецификатора CLSID в имени файла, как продемонстрировано с использованием Internet Explorer 6.0.2800.1106 в Windows XP.
CVE-2004-0216Целочисленное переполнение в Install Engine (inseng.dll) для Internet Explorer 5.01, 5.5 и 6 позволяет удаленным злоумышленникам выполнять произвольный код через вредоносный веб-сайт или HTML-сообщение электронной почты с длинным именем файла .CAB, что вызывает целочисленное переполнение при вычислении длины буфера и приводит к переполнению буфера на основе кучи.
CVE-2004-0214Переполнение буфера в Microsoft Internet Explorer и Explorer в Windows XP SP1, Windows 2000, Windows 98 и Windows Me может позволить удаленным вредоносным серверам вызвать отказ в обслуживании (сбой приложения) и, возможно, выполнить произвольный код через длинные имена общих ресурсов, как продемонстрировано с использованием Samba.
CVE-2003-1027Internet Explorer 5.01 - 6 SP1 позволяет удаленным злоумышленникам направлять поведение перетаскивания и другие действия щелчка мыши в другие окна, используя кэширование методов (SaveRef) для доступа к методу window.moveBy, который в противном случае недоступен, как продемонстрировано HijackClickV2, уязвимость, отличная от CVE-2003-0823, также известная как «Уязвимость перетаскивания указателя функции».
CVE-2000-0061Internet Explorer 5 не изменяет зону безопасности для документа, загружаемого в окно, до тех пор, пока документ не будет загружен, что может позволить удаленным злоумышленникам выполнять Javascript в другом контексте безопасности во время загрузки документа.
CVE-1999-1241Internet Explorer с уровнем безопасности ниже среднего позволяет удаленным злоумышленникам выполнять произвольные команды через вредоносную веб-страницу, использующую объект FileSystemObject ActiveX.
CVE-1999-0967Переполнение буфера в библиотеке HTML, используемой Internet Explorer, Outlook Express и Windows Explorer, через протокол локального ресурса res:.