You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1607

[MS/IE] Schwachstelle im Internet Explorer 8
(2009-11-26 15:12:08.698741+00) Druckversion

Quelle: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4074

Eine Schwachstelle im Internet Explorer 8 erlaubt einem Angreifer, Cross-Site-Scripting-Angriffe (XSS) auch über Webanwendungen auszuführen, die selbst nicht gegen XSS-Angriffe verwundbar sind.

Inhalt

Zusammenfassung

  • CVE-2009-4074:
    Betroffen: Microsoft Internet Explorer 8
    Nicht betroffen: Microsoft Internet Explorer der Versionen vor 8
    Plattform: Microsoft Windows, Apple Mac OS X
    Einfallstor: HTML-Code
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: XSS
    Typ: Entwurfsfehler
    Gefahrenpotential: mittel (je nach Anwendung auch höher)
    Workaround: bedingt
    Gegenmaßnahmen: Bislang kein Patch verfügbar
    Vulnerability ID: CVE-2009-4074

Betroffene Systeme

  • Microsoft Internet Explorer 8

Nicht betroffene Systeme

  • Offenbar alle Versionen des IE vor der Version 8

Plattform

  • Microsoft Windows Betriebssysteme
  • Apple Macintosh OS X

Einfallstor

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite zu besuchen
    (user interaction)

Angriffsvektorklasse


  • über eine Netzwerkverbindung (remote)

Auswirkung

  • Ausführung beliebigen Scriptcodes im Kontext einer anderen Webseite (XSS)
    ()

Typ der Verwundbarkeit

  • Entwurfsfehler (Browserseitig)
    (design flaw)

Gefahrenpotential

  • je nach angegriffener Anwendung mittel bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Entwurfsschwachstelle in den Routinen zur Verhinderung von XSS-Angriffen des Internet Explorers 8 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Skriptcode auf dem beherbergenden System auszuführen Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Microsoft implementierte im Internet Explorer 8 Funktionen, die Cross-Site-Scripting-Angriffe verhindern sollen. Vereinfacht erklärt, verändern diese Funktionen die Kodierung der Inhalte der verarbeiteten Webseiten in einer Weise, die eingeschleusten Script-Code unbrauchbar macht und er so auf dem beherbergen System nicht mehr ausgeführt werden kann.

Genau diesen Umstand macht sich die in dieser Schwachstelle ausgenutzte Angriffstechnik zunutze. Durch die Vorhersagbarkeit der Neukodierung der Inhalte und deren offensichtliche Fehlerhaftigkeit ist es möglich, Seiten so zu präparieren, dass nach der Veränderung durch den Internet Explorer ausführbarer Code dargestellt und ausgeführt wird.

Nach derzeitigem Kenntnisstand ist Microsoft zwar schon länger über das Problem unterrichtet, hat jedoch bislang keinen Patch zu seiner Behebung bereitgestellt.

Workaround

  • Als Sofortmaßnahme wird empflohlen, JavaScript in betroffenen Browserinstallationen zu deaktivieren.
    Hinweis: Diese Maßnahme kann zu Funktionalitäts- und Komforteinschränkungen führen. Sie behebt das Problem nicht, sondern schließt lediglich den häufigsten und einen der gefährlichsten Angriffsvektoren.
  • Umstieg auf einen anderen Browser

Gegenmaßnahmen

  • Bislang ist kein Patch vorhanden.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.