[MS/Active-X] Weitere Schwachstelle in Active-X wird aktiv ausgenutzt
(2006-11-09 19:03:02.901357+01) Druckversion
Quelle: http://www.microsoft.com/technet/security/advisory/927892.mspx
Eine Schwachstelle in der
msxml4.dll, die bei der Ausführung der
setRequestHeader() Methode des
Active-X-Controls XMLHTTP 4.0 greift, kann von einem Angreifer dazu
ausgenutzt
werden, beliebigen Programmcode mit den Privilegien des browsenden
Benutzers auf dem beherbergenden System auszuführen.
Das Control ermöglicht interaktiven Webseiten, XML-Code mittels HTTP zu
senden und zu empfangen. Es ist im Lieferumfang von Windows XP nicht
enthalten, kann jedoch leicht installiert werden und ist im Lieferumfang
zahlreicher Applikationen enthalten. Insbesondere die Integration von
Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe von außerhalb dar,
diese Schwachstelle ausnutzend: ein Benutzer muss
lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in
einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu
werden.
Patches existieren noch nicht, daher wird die generelle Abschaltung
des ActiveScripting insbesondere im Internetexplorer
empfohlen. Ebenfalls beschreibt Microsoft einen Workaround, der die
Ausführung des verwundbaren Codes unterbindet.
Die Schwachstelle wird nach Information des CERT/CC bereits aktiv
ausgenutzt.
(CVE-2006-5745,
VU#585137, Secunia Advisoy SA22687)
(og)
Weitere Artikel zu diesem Thema:
- [MS/WinZip] Schwachstelle im WinZip ActiveX Control (2006-11-16)
Eine Schwachstelle im ActiveX ControlWZFILEVIEW.FileViewCtrl.61, das im Lieferumfang von WinZip 10.0 enthalten ist, enthält eine Schwachstelle, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem auzuführen. Da bei der Installation von Winzip das Control so eingebunden wird, dass es z.B. beim Download einerZIP-Datei durch den Internet Explorer automatisch aufgerufen wird, genügt es, dass ein Benutzer eine entsprechend präparierte Datei z.B. von einer Webseite herunterlädt, um Opfer eines erfolgreichen Angriffs zu werden. (CVE-2006-5198) - [MS/Windows] Microsoft Security Bulletin Summary für November 2006 behebt 13 Sicherheitslücken (2006-11-14)
Im Rahmen des Microsoft Security Bulletin Summary für November 2006 werden sechs Bulletins veröffentlicht, die Updates zur Behebung von Schwachstellen im Client Service für Net Ware, im Internet Explorer, im Microsoft Agent, im Macromedia Flash Player, im Workstation Service sowie in den XML Core Services, bereitstellen. Die Schwachstellen ermöglichen bis auf eine Denial-of-Service-Schwachstelle jeweils die Ausführung von Programmcode auf dem beherbergenden Rechnersystem. - [MS/Active-X] Schwachstelle in der Verarbeitung von Active-X (2006-10-30)
Eine Schwachstelle in den Routinen zur Ausführung des Active-X-ControlsADODB.Connection, kann von einem Angreifer potentiell dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des browsenden Benutzers auf dem beherbergenden System auszuführen. Das Control stellt eine OLE-basierte Schnittschtelle zu Datenbanksystemen bereit. Insbesondere die Integration von Active-X in den Internetexplorer stellt ein Einfallstor für Angriffe, diese Schwachstelle ausnutzend, von außerhalb dar: ein Benutzer muss lediglich eine entsprechend präparierte HTML-Seite, z.B. im Web oder in einer E-Mail-Nachricht, betrachten, um Opfer eines solchen Angriffes zu werden. Bislang ist nur sog. Proof-of-Concept Exploitcode verfügbar, jedoch wird damit gerechnet, dass entsprechende Angriffe bald stattfinden. Patches existieren noch nicht, daher wird die generelle Abschaltung des ActiveScripting insbesondere im Internetexplorer empfohlen.
(VU#589272, CVE-2006-5559)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.