Edge and Internet Explorer

Die Schwachstelle betrifft die Browser Microsoft Edge sowie den Internet Explorer und sitzt in der Bibliothek mshtml.dll, die für die Darstellung von Webinhalten zuständig ist. Es handelt sich um eine Typenverwechslung (Type Confusion): Beim Aufbau mehrspaltiger Layouts behandelt der Code ein Objekt fälschlich als einen anderen Datentyp, als es tatsächlich hat. Auslösen lässt sich der Fehler über eine speziell präparierte Webseite, die eine manipulierte Folge von CSS-Anweisungen mit JavaScript-Code kombiniert, der gezielt auf ein Tabellenkopf-Element (TH) einwirkt. Ein Angreifer aus der Ferne kann diese Verwechslung ausnutzen, um beliebigen Programmcode auf dem Rechner des Opfers auszuführen. Betroffen ist jeder Nutzer, der mit einem dieser Browser eine vom Angreifer kontrollierte oder manipulierte Webseite öffnet – eine zusätzliche Interaktion über den bloßen Seitenaufruf hinaus ist dafür nicht erforderlich.