Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-714

[MS/IE,Windows XP, SQL Server] Schwachstelle in zentraler XML-Komponente
(2002-02-25 21:33:13+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-008.asp

Durch eine Schwachstelle im XMLHTTP Active-X-Control der Microsoft XML Core Services (MSXML) kann eine arglistige Webseite beliebige lokale Dateien auslesen.

Betroffene Systeme

Einfallstor
Arglistige Webseite, nach Angaben von Microsoft ist ein Angriff über eine HTML-E-Mail nicht möglich

Auswirkung
Mittels eines ActiveX-Controls können lokale Dateien ausgelesen und beispielsweise an eine arglistige Webseite übermittelt werden. Das Auslesen der Dateien würde dabei mit den Privilegien des die arglistige Webseite besuchenden Benutzers erfolgen.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Microsoft Internet Explorer weist, wie bereits am 02.01.2002 unter [MS/IE] Schwachstellen im Internet Explorer beschrieben, eine Schwachstelle auf, durch die arglistige Webseiten mittels ActiveX beliebige Dateien auf dem lokalen System einsehen und beispielsweise an einen Webserver übermitteln können. Die verwundbare ActiveX-Komponente (XMLHTTP) ist Bestanteil der Microsoft XML Core Services (MSXML), die mit Windows XP, dem Internet Explorer 6.0 und Microsoft SQL 2000 Servern ausgeliefert werden.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung. Da je nach Version des installierten XML-Kern ein unterschiedlicher Patch vorliegt, muss vor der Installation des Patches die installierte XML-Version ermittelt werden. Dazu das system32-Verzeichnis auf die Existenz folgender Dateien durchsuchen:

Je nach Kennziffer handelt es sich um die Version 2, 3 oder 4 des XML-Kern. Sollte sich auf dem System nur eine Datei MSXML.DLL befinden, so ist das System nach Angaben von Microsoft nicht verwundbar.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=714