Compania de securitate SEC Consult a raportat o vulnerabilitate in Microsoft Internet Explorer, aceasta putand fi exploatata pentru a compromite un sistem afectat.

Vulnerabilitatea este cauzata de o eroare ce poate apare la instantierea incorecta a unui obiect COM in cadrul unei pagini accesata cu Internet Explorer. Instantierea se poate face utilizand elemente de tip object care precizeaza CLSID pentru obiectul ce trebuie creat.

Obiectul COM la a carui instantiere pot apare probleme este de tip JVIEW Profiler si are suportul implementat in libraria de functii javaprxy.dll. Vulnerabilitatea poate fi exploatata prin intermediul unei pagini web stocate pe un sit web controlat de atacatori pentru a cauza coruperea datelor din memorie.

Exploatarea cu succes poate permite executia de cod arbitrar.

Vulnerabilitatea a fost confirmata pe un sistem Windows XP cu SP2 actualizat la zi folosind Internet Explorer 6.0 cu Microsoft Java VM (virtual machine) build 3802 instalat. Versiunile afectate de aceasta vulnerabilitate sunt: Microsoft Internet Explorer 5.01 SP3/SP4, Microsoft Internet Explorer 5.5 SP2, Microsoft Internet Explorer 6.0 cu sau fara SP1.

Producatorul recomanda setarea nivelului de securitate pe High in cadrul Internet Explorer sau dezactivarea accesului la obiectul JVIEW Profiler (prin intermediul meniurilor Tools->Manage Add-ons).