Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-786

[Mac/MS Office, IE, Outlook] Schwachstellen in diversen Microsoft-Produkten für Macintosh
(2002-04-17 19:00:49+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-019.asp

Microsoft stellt einen Sammelpatch für Microsoft Office, den Internet Explorer und Outlook für Macintosh zur Verfügung. Der Sammelpatch behebt auch zwei bislang nicht veröffentlichte Sicherheitslücken.

Betroffene Systeme

Einfallstor

  1. Arglistige Webseite oder HTML-E-Mail bzw. in Office-Dokumente eingebettete Webseiten
  2. Arglistige Webseite

Auswirkung

  1. Ausführung beliebigen Programmcodes mit den Privilegien des Benutzers.
  2. Ausführung beliebiger AppleScripten mit den Privilegien des die arglistige Webseite betrachtenden Benutzers

Typ der Verwundbarkeit
design flaw

Gefahrenpotential

  1. hoch
  2. mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Sammelpatch von Microsoft beinhaltet nach Angaben von Microsoft alle bisherigen Sicherheitsupdates für den Internet Explorer 5.1 und Office v. X für Macintosh. Ferner beseitigt dieser Patch zwei bislang nicht veröffentlichte Sicherheitslücken:

  1. Durch eine Pufferüberlauf-Schwachstelle bei der Verarbeitung von HTML-Elementen können arglistige Webseiten, HTML-E-Mails bzw. Office-Dokumente (mit eingebetteten Webseiten) beliebigen Programmcode mit den Privilegien des die Webseite/E-Mail/Office-Dokument betrachtenden Benutzers ausführen.
  2. Durch eine Schwachstelle bei der Ausführung von AppleScript über HTML-Elemente sind arglistige Webseiten in der Lage, beliebige bereits auf dem System vorhandene AppleScripten auszuführen. Von dieser Schwachstelle ist der IE auf Mac OS 8 & 9 nicht jedoch Mac OS X betroffen. Über die Standard-AppleScripten können beispielsweise Systemkonfigurationen verändert werden.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=786