[MS/IE] Patch für den Internet Explorer verfügbar - Update
(2002-03-15 13:22:35+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-009.asp
Microsoft stellt einen Patch für den Internet Explorer zur Verfügung, der eine Schwachstelle in VBScript bei der Validierung von Cross-Domain-Zugriffen beseitigt. Durch diese Schwachstelle können arglistige Webseiten oder HTML-E-Mails beliebige Dateien, die in einem Web-Browser darstellbar sind, auslesen.
Betroffene Systeme
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0
Einfallstor
Arglistige Webseite oder HTML-E-Mail
Auswirkung
Mittels einer arglistigen Webseite oder HTML-E-Mail kann der Inhalt
beliebiger Cookies ausgelesen werden und lokale Dateien, die in einem Webbrowser
darstellbar sind, an einen Webserver übertragen werden. (Cookies können vertrauliche Daten, z.B.
Passwörter enthalten.) Die Dateizugriffe erfolgen dabei mit den Privilegien des
die arglistige Webseite bzw. die HTML-E-Mail betrachtenden Benutzers.
Typ der Verwundbarkeit
design flaw (Verstoß gegen die same origin policy)
Gefahrenpotential
mittel bis hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Der Microsoft Internet Explorer weist, wie bereits am 02.01.2002 unter
[MS/IE] Schwachstellen im Internet Explorer beschrieben, eine Schwachstelle auf, da VBScript
die Validierung von Cross-Domain-Zugriffen fehlerhaft durchführt. Durch diesen
Umstand kann entgegen der same origin policy Scriptcode einer
Webseite auf Eigenschaften einer anderen Webseite zugreifen.
Mittels einer arglistigen Webseite oder HTML-E-Mail können dadurch
beliebige lokale Dateien, die in einem Webbrowser darstellbar sind (z.B. Cookies)
ausgelesen werden. Ferner können die Inhalte von Webseiten Dritter, die der
Anwender besucht, an einen Webserver übermittelt werden, wodurch möglicherweise
sensitive Informationen wie Passwörter und Kreditkarteninformationen
protokolliert werden.
Der nun von Microsoft zur Verfügung gestellte Patch beseitigt lediglich die Schwachstelle in VBScript, nicht jedoch von Script-Sprachen von Drittherstellern wie beispielsweise Perl oder Python. Microsoft hat Veränderungen an der Architektur des Internet Explorers angekündigt, durch die solche Schwachstellen mit einem zukünftigen Service Pack für den Internet Explorer beseitigen soll. JScript ist von dieser Schwachstelle nicht betroffen.
Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung
- http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp
- http://www.microsoft.com/Windowsupdate
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-009 Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
Revisionen
- V.1.0 (2002-02-25)
- V.2.0 (2002-03-15) Microsoft hat neue Patches veröffentlicht, welche Probleme mit den bisherigen Patches bei der Interaktion mit Drittprodukten, die VBScript einsetzen, beheben.
Weitere Artikel zu diesem Thema:
- [MS/IE,Windows XP, SQL Server] Schwachstelle in zentraler XML-Komponente (2002-02-25)
Durch eine Schwachstelle im XMLHTTP Active-X-Control der Microsoft XML Core Services (MSXML) kann eine arglistige Webseite beliebige lokale Dateien auslesen. - [MS/IE] Sammelpatch für den Microsoft Internet Explorer (2002-02-13)
Microsoft stellt einen Sammelpatch zur Verfügung, der einige Schwachstellen des Internet Explorer behebt. - [MS/IE] Schwachstellen im Internet Explorer (2002-01-02)
MittelsDocument.Open()
ohne ein folgendesClose()
können arglistige Webseiten oder HTML-E-Mails Cookies auslesen und Dateien, die im Browser dargestellt werden können, einsehen. Ferner weist der IE Schwachstelle auf, die zum Auslesen von lokalen Dateien und zu einen DoS genutzt werden können.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=715