Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-944

[MS/Windows] Schwachstelle in dem Active X Steuerelement Certificate Enrollment Control
(2002-08-30 10:36:20.588661+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/08/msg00008.html

Die aktuellen Microsoft Betriebssysteme weisen eine Schwachstelle in dem Certificate Enrollment ActiveX Control auf, wodurch arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel vorhandene Zertifikate löschen können.

Betroffene Systeme

Nach Angaben von Microsoft wurden nur Windows 98/98 SE/ME/NT 4.0/2000/XP auf diese Schwachstelle getestet, frühere Versionen werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen untersucht.

Einfallstor
Arglistige Webseite, HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung
Es können auf dem System existierende Zertifikate gelöscht werden. Betroffen sind z.B.:

Dadurch werden die Dienste, die diese Zertifikate verwenden, unbrauchbar.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das ActiveX Steuerelement Certificate Enrollment Control stellt unter Microsoft Windows die Möglichkeit der Anforderung von Zertifikaten (gemäß PKCS #10) und der Installation der erhaltenen Zertifikate zur Verfügung.

Beschreibung
Das Certificate Enrollment ActiveX Control weist eine Schwachstelle auf, durch die arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel auf existierende Zertifikate zugreifen können. Somit sind Angreifer zumindest in der Lage vorhandene Zertifikate zu löschen - es ist derzeit unklar, ob eine Manipulation von Zertifikaten über diese Schwachstelle möglich ist.

Zertifikate, die auf SmartCards gespeichert sind, können durch diese Schwachstelle nicht gelöscht werden.

Neben der Schwachstelle im Certificate Enrollment ActiveX Control weist auch das SmartCard Enrollment Control von Windows 2000/XP eine vergleichbare, aber nicht näher beschriebene Schwachstelle auf.

Workaround
Deaktivieren Sie die ActiveX Controls in allen Sicherheitszonen des Internet Explorers (Tools|Internet Options ...|Security|Custom Level|Run ActiveX controls and plug-ins).

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Ferner finden Sie auf den Webseiten des RUS-CERT tabellarische Auflistungen mit Downloadlinks zu dem FTP-Server der Universität Stuttgart unter:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=944