Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1607

[MS/IE] Schwachstelle im Internet Explorer 8
(2009-11-26 15:12:08.698741+00)

Quelle: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4074

Eine Schwachstelle im Internet Explorer 8 erlaubt einem Angreifer, Cross-Site-Scripting-Angriffe (XSS) auch über Webanwendungen auszuführen, die selbst nicht gegen XSS-Angriffe verwundbar sind.

Inhalt

Zusammenfassung

Betroffene Systeme

Nicht betroffene Systeme

Plattform

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Entwurfsschwachstelle in den Routinen zur Verhinderung von XSS-Angriffen des Internet Explorers 8 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Skriptcode auf dem beherbergenden System auszuführen Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Microsoft implementierte im Internet Explorer 8 Funktionen, die Cross-Site-Scripting-Angriffe verhindern sollen. Vereinfacht erklärt, verändern diese Funktionen die Kodierung der Inhalte der verarbeiteten Webseiten in einer Weise, die eingeschleusten Script-Code unbrauchbar macht und er so auf dem beherbergen System nicht mehr ausgeführt werden kann.

Genau diesen Umstand macht sich die in dieser Schwachstelle ausgenutzte Angriffstechnik zunutze. Durch die Vorhersagbarkeit der Neukodierung der Inhalte und deren offensichtliche Fehlerhaftigkeit ist es möglich, Seiten so zu präparieren, dass nach der Veränderung durch den Internet Explorer ausführbarer Code dargestellt und ausgeführt wird.

Nach derzeitigem Kenntnisstand ist Microsoft zwar schon länger über das Problem unterrichtet, hat jedoch bislang keinen Patch zu seiner Behebung bereitgestellt.

Workaround

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1607