[MS/IE] Sammelpatch für den Microsoft Internet Explorer
(2001-12-17 09:42:27+00) Druckversion
Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-058.asp
Microsoft stellt einen Sammelpatch für den Internet Explorer zur Verfügung, der die bisherigen Sicherheitsupdates beinhaltet und drei weitere Schwachstellen behebt.
Betroffene Systeme
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0
Einfallstor
Arglistige Webseite oder HTML-E-Mail
Auswirkung
- Ausführung von beliebigem Programmcode mit den Privilegien den Benutzers, der die arglistige Webseite oder HTML-E-Mail betrachtet.
- Es können beliebige Dateien, die in einem Browser angezeigt werden können, an eine arglistige Webseite übermittelt werden
- Vortäuschung eines anderen Dateinamen/Dateityp bei einem Download, wodurch ein ausführbares Programm beispielsweise als Textdatei angezeigt wird. Beim Öffnen des vermeintlichen Textfile würde das Programm ohne eine Warnung ausgeführt.
Typ der Verwundbarkeit
- design flaw
- design flaw
- design flaw
Gefahrenpotential
- hoch
- mittel
- mittel bis hoch
Beschreibung
Der Sammelpatch für den Internet Explorer beinhaltet die bisherigen Sicherheisupdates sowie Updates
zu folgenden neuen Schwachstellen:
- Der Microsoft Internet Explorer weist eine Schwachstelle
bei der Verarbeitung der HTML Headerfelder Content-Disposition
und Content-Type auf. Mittels dieser HTML Headerfelder
entscheiden Browser, wie eine heruntergeladene Datei weiterverarbeitet
wird. Durch geeignete Wahl der HTML Headerfelder
Content-Disposition und Content-Type kann eine arglistige
Webseite oder HTML-E-Mail beliebigen Programmcode bei der Betrachtung
der Webseite/HTML-E-Mail ohne Interaktion des Anwenders auf dessen
System mit den Privilegien des Anwenders ausführen.
Nach Angaben von Microsoft ist von dieser Schwachstelle der IE 6.0 nicht jedoch der IE 5.5 SP2 betroffen. - Durch eine neue Variante der Frame Domain Verification-Schwachstelle
(MS00-033)
kann ein Angreifer mittels einer
arglistigen Webseite Dateien auf dem Rechner eines Besuchers dieser arglisten Webseite
auslesen. Das Auslesen der Dateien erfolgt mit den Privilegien des die
arglistige Webseite besuchenden Benutzer und setzt die genaue Kenntnis
der Pfadangabe (zu den Dateien die ausgelesen werden sollen) sowie die
Möglichkeit, diese Dateien im Browserfenster darzustellen, voraus. Im Browserfenster können
beispielsweise Dateien wie
.htm
,.txt
,.doc
dargestellt werden, nicht jedoch.exe
oder.xls
. - Durch eine Schwachstelle im Microsoft Internet Explorer, bei der
Verarbeitung von HTML Headerfeldern, kann beim Download einer Datei ein
falscher Dateiname angezeigt werden. Dadurch kann beispielsweise eine
arglistige Webseite dem Benutzer beim Download einer Datei einen
falschen Dateinamen vorspiegeln, wodurch ein ausführbares Programm als
Text-, Image-, Audio- oder beliebigen anderen Dateityp angezeigt wird.
Durch diesen Umstand könnte der Dateiname beim Download beispielsweise
als
file.txt
anstelle des eigentlichenfile.txt.exe
angegeben werden. Sollte der Anwender die scheinbare Text-Datei öffnen, wird ohne weitere Warnung die EXE-Datei ausgeführt.
Gegenmaßnahmen
Microsoft stellt einen Sammelpatch für den IE 5.5 und 6.0 zur Verfügung:
Workaround
- Verhinderung jeglichen Dateidownloads durch entsprechende Konfiguration
des IE:
Tools|Internet Options|Security|Custom Level|Downloads|File download
"disable".
Hinweis: Bei Aktivierung dieser Einstellung sind keine Downloads mehr möglich. - derzeit kein bekannter Workaround verfügbar
- Beim Download von Dateien sollten diese auf dem System gespeichert werden und keine
direkte Ausführung erfolgen.
Alternativ: Verhinderung jeglichen Dateidownloads durch entsprechende Konfiguration des IE:Tools|Internet Options|Security|Custom Level|Downloads|File download
"disable".
Hinweis: Bei Aktivierung dieser Einstellung sind keine Downloads mehr möglich.
Vulnerability ID
- CAN-2001-0727 (File Execution Vulnerability)
- CAN-2001-0874 (Frame Domain Verification Variant)
- CAN-2001-0875 (File Name Spoofing Vulnerability)
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS01-058 13 December 2001 Cumulative Patch for IE
- Bugtraq MSIE may download and run progams automatically
- RFC 1806 Communicating Presentation Information in Internet Messages: The Content-Disposition Header
- Microsoft Security Bulletin MS00-033 Patch Available for "Frame Domain Verification", "Unauthorized Cookie Access", and "Malformed Component Attribute" Vulnerabilities
- Bugtraq File extensions spoofable in MSIE download dialog
Weitere Artikel zu diesem Thema:
- [MS/IE] Sammelpatch für den Microsoft Internet Explorer (2002-02-13)
Microsoft stellt einen Sammelpatch zur Verfügung, der einige Schwachstellen des Internet Explorer behebt. - [MS/IE] Schwachstellen im Internet Explorer (2001-10-11)
Der Internet Explorer besitzt mehrere Schwachstellen, beispielsweise bei der Verarbeitung von speziellen IP-Adressen ohne Punkte, bei der die Webseiten im Sicherheitskontext der Intranet Zone ausgeführt werden. - [MS/IE] Schwachstellen im Microsoft IE 5.01/5.5 (2001-05-17)
Der Microsoft Internet Explorer 5.01/5.5 besitzt zum einen eine unzureichende Überprüfung von Zertifikaten, wodurch sich eine arglistige Webseite als vertrauenswürdige Webseite ausgeben könnte, zum anderen kann die URL Anzeige im Adressfeld des Browserfenster gefälscht werden. - [MS/IE 5.x] Schwachstelle in der Cache-Architektur des Internet Explorers (2001-03-09)
Die Cache-Architektur des Internet Explorers besitzt eine Schwachstelle wodurch beim Betrachten einer arglistigen Webseite oder HTML-Email beliebiger Programmcode ausgeführt werden kann.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.