Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-312

[MS/IE] Browser erlaubt Servern Zugriff auf lokale Dateien
(2001-04-02 12:32:01+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/04/msg00002.html

Durch eine Schwachstelle im Microsoft Internet Explorer 5.x können böswillige Webseiten die Übertragung von Dateien auf dem Client-Rechner veranlassen.

Betroffene Systeme

Beschreibung
Im Georgi Guninski security advisory #41, 2001 wird eine Sicherheitslücke im Microsoft Internet Explorer 5.x beschrieben, durch die eine arglistige Webseite lokale Dateien des Betrachters der Webseite auslesen könnte. Das Auslesen der Dateien erfolgt mit den Privilegien des Surfers.

Der Fehler liegt scheinbar im ActiveX-Object MSScriptControl.ScriptControl in Kombination mit GetObject. Möglicherweise kann durch diese Schwachstelle und C:\Documents and Settings\USERNAME\Local Settings\Temporary Internet Files\Content.IE5\index.dat auch beliebiger Programmcode ausgeführt werden.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Bisher liegt noch keine Reaktion von Microsoft vor.

Workaround:
Deaktivieren Sie "Active Scripting" in den Sicherheitseinstellungen des Internet Explorers.

Demonstration der Lücke
(Ausführung auf eigene Gefahr!)
http://guninski.com/scractxdemo.html

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=312