Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-810

[MS/ActiveX] Version-Rollback-Angriffe möglich
(2002-06-12 13:21:04.590179+00)

Quelle: http://cert.uni-stuttgart.de/archive/ntbugtraq/2002/05/msg00014.html

Angreifer können über ActiveX digital signierte Controls installieren, die bereits behobene Schwachstellen im System wieder öffnen.

Betroffene Systeme

Einfallstor
Webseiten oder HTML-Nachrichten, die ActiveX-Controls mit Sicherheitslücken installieren.

Auswirkung
Ein Angreifer kann die Schwachstellen in den ActiveX-Controls erneut ausnutzen. Das ermöglicht i.d.R. die Kompromittierung des Accounts des Benutzers, der das HTML-Dokument anzeigt, bzw. des ganzen Systems, falls der Account administrative Rechte besitzt.

Typ der Verwundbarkeit
version rollback vulnerability

Gefahrenpotential
hoch bis sehr hoch (letzteres, wenn Webseiten mit Administratorrechten bzw. mit Consumer-Windows-Versionen besucht werden).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Zahlreiche ActiveX-Controls wiesen in früheren Versionen Sicherheitsproblem auf, z.B. Pufferüberläufe oder eine ungerechtfertigte Unbedenklichkeitsbescheinigung für den Einsatz in nicht vertrauenswürdigen Skripten ("marked as safe for scripting"). Ein Angreifer kann über eine böswillige Webseite oder HTML-Nachricht die erneute Installation einer solchen verwundbaren Version veranlassen und dadurch diese Schwachstellen erneut für Angriffe ausnutzen.

Folgende Schwachstellen kommen beispielsweise für derartige Angriffe in Frage:

Workaround

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=810