You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-596

[MS/IE] Arglistige Webseiten oder HTML-E-Mails können beliebige Dateien auslesen
(2001-11-26 18:25:58+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00207.html

Durch Schwachstellem im Microsoft Internet Explorer können arglistige Webseiten oder HTML-E-Mails beliebige Dateien auslesen.

Betroffene Systeme

  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0

Einfallstor
Arglistige Webseite oder HTML-E-Mail

Auswirkung
Es können beliebige Dateien mit den Privilegien des die arglistige Webseite oder HTML-E-Mail betrachtenden Benutzers ausgelesen werden.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mittels base64-codierter ActiveX-Objekte (htmlfile_FullWindowEmbed und htmlfile) können arglistige Webseiten oder HTML-E-Mails beliebige Dateien, mit den Privilegien des die Webseite oder HTML-E-Mail betrachtenden Benutzers, auslesen.

Gegenmaßnahmen
Es liegt noch keine Reaktion von Microsoft vor.

Workaround
Deaktivieren Sie ActiveX

  • Dies erfolgt im Internet Explorer über "Tools | Internet Options | Security | Custom Level | Run ActiveX controls and plug-ins" welches auf disable oder prompt gestellt werden sollte.

Demonstration
Unter http://cert.uni-stuttgart.de/demo/ie/htmlfile_FWE-exploit.htm finden Sie eine Demonstration, welche die lokale Datei c:\test.txt ausliest.

Vulnerability ID
liegt bislang nicht vor

Weitere Information zu diesem Thema

  • Vuln-Dev (11/2001) [ALERT] Remote File Execution By Web or Mail: Internet Explorer
  • Bugtraq (09/2000) IE 5.5/Outlook Express security vulnerability - GetObject() expose user's files

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.