Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1226

[MS/IE] Schwachstelle im Internet Explorer - Malware in Umlauf (Update: Patches verfügbar)
(2004-12-02 11:58:51.713149+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/ms04-dec.mspx

Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung von FRAME, IFRAME und EMBED-Elementen des IE Version 6 unter Windows 2000 und XP Service Pack 1 kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers auf dem beherbergenden System auszuführen. Es sind bereits diverse Varianten des Mydoom-Wurmes in Umlauf, die diese Schwachstelle aktiv zur Infektion verwundbarer Systeme ausnutzen. Microsoft stellt mittlerweile Patches bereit, die diese Schwachstelle beheben.

Betroffene Systeme

Nicht betroffene Systeme
Nach derzeitigem Kenntnisstand:

Einfallstor
HTML-E-Mail oder -Datei oder Teile davon, die <FRAME>-, <IFRAME> oder <EMBED>-Elementen mit speziell präparierten SRC- oder NAME-Attributen enthalten

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des betrachtdenden Benutzers
(remote user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung der SRC- und NAME-Attribute von <FRAME>, <IFRAME> und <EMBED>-Elementen des Internet Explorers Version 6 unter Windows 2000 und XP Service Pack 1 kann von einem Angreifer durch Manipulation des Heaps dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des IE-Benutzers auf dem beherbergenden System auszuführen. Für eine erfolgreiche Ausnutzung ist dabei ausreichend, wenn ein Benutzer eine entsprechende präparierte Datei mit einem verwundbaren IE betrachtet. Die Datei kann dabei z.B. über das Web, eine HTML-E-Mail oder einen beliebigen anderen Kanal zum Browser gelangen. Unter Microsoft Windows Betriebssystemen ist voreingestellt, daß IE zum Betrachten von HTML-Dateien verwendet wird.

Nach derzeitigem Kenntnisstand behebt die Installation des Service Packs 2 das Problem unter Windows XP. Für alle anderen betroffenen Systeme ist zur Behebung des Problems die Installation u.a. Patches erforderlich.

Es sind bereits diverse MyDoom-Varianten unterwegs, die diese Schwachstelle zur Infektion verwundbarer Systeme ausnutzen.

Gegenmaßnahmen
Microsoft stellt Patches bereit, die diese Schwachstelle beheben:

Workaround

Achtung! Keine dieser Maßnahmen schließt die Sicherheitslücke! Sie können lediglich die Sicherheit im Betrieb erhöhen.

Exploit-Status
Es sind bereits Varianten des MyDoom-Wurmes in Umlauf, die diese Schwachstelle zur Kompromittierung verwundbarer Systeme ausnutzen. Diverse Hersteller von Antivirus-Software haben bereits reagiert und bieten Updates sowie Beschreibungen an:

Diese Liste ist nicht vollständig.

Vulnerability ID

Revisionen dieser Meldung

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1226