Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1136

[MS/IE] Sammelpatch behebt mehrere kritische Probleme im Internet Explorer
(2003-08-21 13:43:18.266769+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-032.asp

Im MS Security Bulletin MS03-032 wird ein Sammelpatch für den Internet Explorer 5.01, 5.5 sowie 6.0 beschrieben, der drei kritische Schwachstellen behebt, die u.a. von Angreifern dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des browsenden, bzw (html-) E-Mail-lesenden Benutzers auszuführen (remote user compromise). IE-Benutzern wird die Installation dieses Patches dringend empfohlen.
Referenzen: CAN-2003-0530, CAN-2003-0531, CAN-2003-0532, MS03-032 (deutsche Version)

Betroffene Systeme

Einfallstor

  1. Webseite

Auswirkung

  1. Ausführung beliebigen Programmcodes mit den Privilegein des browsenden Benutzers
    (remote user compromise)

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. design flaw
  3. Programmierfehler

Gefahrenpotential

  1. hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Die Routinen zur Behandlung von Daten im Browsercache des IE besitzen eine Schwachstelle, die dazu führen kann domänenübergreifende Sicherheitsmodell von Internet Explorer besitzt eine Schwachstelle, die dazu führen kann, dass das Sicherheitsmodell nicht greift. Mittels einer speziell gestalteten Webseite kann dies von einem Angreifer dazu ausgenutzt werden, auf dem beherbergenden Rechnersystem beliebigen Programmcode mit den Privilegien des browsenden Benutzers auszuführen.

Gegenmaßnahmen

Vulnerability ID

  1. CAN-2003-0530 (Pufferüberlaufschwachstelle in BR549.DLL)
  2. CAN-2003-0531 (Browsercacheschwachstelle)
  3. CAN-2003-0532 (fehlerhafte Überprüfung des Objekttyps)

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1136