Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-309

[MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types
(2001-03-30 07:52:20+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Durch eine Schwachstelle bei der Verarbeitung von MIME Types kann beim Betrachten von HTML E-Mails oder arglistigen Webseiten beliebiger Programmcode ausgeführt werden.

Betroffene Systeme

Der Internet Explorer 5.01 mit Service Pack 2 ist von dieser Schwachstelle nicht betroffen.

Typ der Verwundbarkeit
design flaw bei der Verarbeitung von MIME Types.

Beschreibung
Der Microsoft Internet Explorer 5.x führt Attachments, deren MIME Types auf ungewöhnliche Werte eingestellt sind, automatisch aus. Somit können durch HTML-E-Mails oder durch arglistige Webseiten beliebige Programme mit den Privilegien des die HTML-E-Mail bzw. Webseite Betrachtenden ausgeführt werden. Im Falle von Microsoft Windows 9x und Me bzw. falls mit administrativen Privilegien gearbeitet wird, kann diese Schwachstelle zu einer vollständigen Systemkompromittierung führen (indem beispielsweise ein Trojanisches Pferd installiert wird).

Microsoft Outloook/Outlook Express sind indirekt von dieser Schwachstelle betroffen, da sie für die Darstellung von HTML-E-Mails auf den Internet Explorer zurückgreifen.

Gefahrenpotential
hoch

Gegenmaßnahmen
Microsoft stellt einen Patch zur Behebung dieser Schwachstelle zur Verfügung. Mittlerweile liegt der Patch für alle Sprachversionen vor.

Workaround
Deaktivieren Sie "File Downloads" in den Sicherheitseinstellungen des Internet Explorers.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=309