Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-715

[MS/IE] Patch für den Internet Explorer verfügbar - Update
(2002-03-15 13:22:35+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-009.asp

Microsoft stellt einen Patch für den Internet Explorer zur Verfügung, der eine Schwachstelle in VBScript bei der Validierung von Cross-Domain-Zugriffen beseitigt. Durch diese Schwachstelle können arglistige Webseiten oder HTML-E-Mails beliebige Dateien, die in einem Web-Browser darstellbar sind, auslesen.

Betroffene Systeme

Einfallstor
Arglistige Webseite oder HTML-E-Mail

Auswirkung
Mittels einer arglistigen Webseite oder HTML-E-Mail kann der Inhalt beliebiger Cookies ausgelesen werden und lokale Dateien, die in einem Webbrowser darstellbar sind, an einen Webserver übertragen werden. (Cookies können vertrauliche Daten, z.B. Passwörter enthalten.) Die Dateizugriffe erfolgen dabei mit den Privilegien des die arglistige Webseite bzw. die HTML-E-Mail betrachtenden Benutzers.

Typ der Verwundbarkeit
design flaw (Verstoß gegen die same origin policy)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Microsoft Internet Explorer weist, wie bereits am 02.01.2002 unter [MS/IE] Schwachstellen im Internet Explorer beschrieben, eine Schwachstelle auf, da VBScript die Validierung von Cross-Domain-Zugriffen fehlerhaft durchführt. Durch diesen Umstand kann entgegen der same origin policy Scriptcode einer Webseite auf Eigenschaften einer anderen Webseite zugreifen. Mittels einer arglistigen Webseite oder HTML-E-Mail können dadurch beliebige lokale Dateien, die in einem Webbrowser darstellbar sind (z.B. Cookies) ausgelesen werden. Ferner können die Inhalte von Webseiten Dritter, die der Anwender besucht, an einen Webserver übermittelt werden, wodurch möglicherweise sensitive Informationen wie Passwörter und Kreditkarteninformationen protokolliert werden.

Der nun von Microsoft zur Verfügung gestellte Patch beseitigt lediglich die Schwachstelle in VBScript, nicht jedoch von Script-Sprachen von Drittherstellern wie beispielsweise Perl oder Python. Microsoft hat Veränderungen an der Architektur des Internet Explorers angekündigt, durch die solche Schwachstellen mit einem zukünftigen Service Pack für den Internet Explorer beseitigen soll. JScript ist von dieser Schwachstelle nicht betroffen.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung

Eine Auflistung der verfügbaren Sicherheitsupdates für den Internet Explorer (in tabellarischer Form) finden Sie unter:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=715