Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-596

[MS/IE] Arglistige Webseiten oder HTML-E-Mails können beliebige Dateien auslesen
(2001-11-26 18:25:58+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00207.html

Durch Schwachstellem im Microsoft Internet Explorer können arglistige Webseiten oder HTML-E-Mails beliebige Dateien auslesen.

Betroffene Systeme

Einfallstor
Arglistige Webseite oder HTML-E-Mail

Auswirkung
Es können beliebige Dateien mit den Privilegien des die arglistige Webseite oder HTML-E-Mail betrachtenden Benutzers ausgelesen werden.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mittels base64-codierter ActiveX-Objekte (htmlfile_FullWindowEmbed und htmlfile) können arglistige Webseiten oder HTML-E-Mails beliebige Dateien, mit den Privilegien des die Webseite oder HTML-E-Mail betrachtenden Benutzers, auslesen.

Gegenmaßnahmen
Es liegt noch keine Reaktion von Microsoft vor.

Workaround
Deaktivieren Sie ActiveX

Demonstration
Unter http://cert.uni-stuttgart.de/demo/ie/htmlfile_FWE-exploit.htm finden Sie eine Demonstration, welche die lokale Datei c:\test.txt ausliest.

Vulnerability ID
liegt bislang nicht vor

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=596