Mehrere Schwachstellen im Internet Explorer können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Browser-Benutzers auf dem beherbergenden Betriebssystem auszuführen. Einzelne der Schwachstellen werden automatisiert ausgenutzt.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Zusammenfassung

• CVE-2008-4258:
  
  • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
  • Einfallstor: COM-Objekt
  • Angriffsvoraussetzung: Benutzerinteraktion
  • Angriffsvektorklasse: remote
  • Auswirkung: user compromise
  • Typ: Pufferüberlaufschwachstelle
  • Gefahrenpotential: hoch
  • Workaround: ja
  • Gegenmaßnahmen: Patch
  • Vulnerability ID: CVE-2008-4258
• CVE-2008-4259:
  
  • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
  • Einfallstor: WebDAV-Zugriff
  • Angriffsvoraussetzung: Benutzerinteraktion
  • Angriffsvektorklasse: remote
  • Auswirkung: user compromise
  • Typ: Pufferüberlaufschwachstelle
  • Gefahrenpotential: hoch
  • Workaround: ja
  • Gegenmaßnahmen: Patch
  • Vulnerability ID: CVE-2008-4259
• CVE-2008-4260:
  
  • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
  • Einfallstor: HTML-Code
  • Angriffsvoraussetzung: Benutzerinteraktion
  • Angriffsvektorklasse: remote
  • Auswirkung: user compromise
  • Typ: Pufferüberlaufschwachstelle
  • Gefahrenpotential: hoch
  • Workaround: ja
  • Gegenmaßnahmen: Patch
  • Vulnerability ID: CVE-2008-4260
• CVE-2008-4261:
  
  • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 7
  • Einfallstor: HTML-Code
  • Angriffsvoraussetzung: Benutzerinteraktion
  • Angriffsvektorklasse: remote
  • Auswirkung: user compromise
  • Typ: Pufferüberlaufschwachstelle
  • Gefahrenpotential: hoch
  • Workaround: ja
  • Gegenmaßnahmen: Patch
  • Vulnerability ID: CVE-2008-4261
• CVE-2008-4844:
  
  • Betroffen: Microsoft Internet Explorer 5.01 bis inkl. 8 Beta 2, sowie frühere
  • Einfallstor: XML-Code
  • Angriffsvoraussetzung: Benutzerinteraktion
  • Angriffsvektorklasse: remote
  • Auswirkung: user compromise
  • Typ: Pufferüberlaufschwachstelle
  • Gefahrenpotential: hoch
  • Workaround: ja
  • Gegenmaßnahmen: Patch (UPDATE)
  • Vulnerability ID: CVE-2008-4844, VU#493881

Betroffene Systeme

• CVE-2008-4258:
  
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 7
• CVE-2008-4259:
  
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 7
• CVE-2008-4260:
  
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 7
• CVE-2008-4261:
  
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 7
• CVE-2008-4844:
  
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6
  • Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 7
  • Microsoft Internet Explorer 8 Beta 2
  • Vermutlich auch frühere Versionen

Einfallstor

• CVE-2008-4258:
  COM-Objekt, z.B. in einer Webseite oder einer HTML-E-Mail-Nachricht
• CVE-2008-4259:
  WebDAV-Zugriff
• CVE-2008-4260:
  Speziell präparierte HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht
• CVE-2008-4261:
  Speziell präparierte HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht
• CVE-2008-4844:
  Speziell präparierter XML-Code z.B. in einer HTML-Datei, etwa eine Webseite oder HTML-E-Mail-Nachricht

Angriffsvoraussetzung

• CVE-2008-4258:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  (user interaction)
• CVE-2008-4259:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen bzw. einen entsprechenden WebDAV-Zugriff durchzuführen.
  (user interaction)
• CVE-2008-4260:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  (user interaction)
• CVE-2008-4261:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  (user interaction)
• CVE-2008-4844:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.
  (user interaction)
Anmerkung: In jedem Fall ist eine Konfiguration einer Anwendung in der Art, dass automatisch dritte Anwendungen gestartet werden, die einen gerade in der Bearbeitung befindlichen Dateityp verarbeiten können, gefährlich! Dies gilt insbesondere für Dateien, die aus einer (potentiell) nicht vertrauenswürdigen Quelle stammen. Besonders im Rahmen des Lesens von E-Mail-Nachrichten ist z.B. der automatische Start des Internet Explorers zum Betrachten einer HTML-Nachricht sehr gefährlich. Entsprechende Konfigurationen sollten umgehend deaktiviert werden.

Angriffsvektorklasse

• CVE-2008-4258:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4259:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4260:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4261:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4844:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-4258:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
  (user compromise)
• CVE-2008-4259:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
  (user compromise)
• CVE-2008-4260:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
  (user compromise)
• CVE-2008-4261:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
  (user compromise)
• CVE-2008-4844:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Betriebssystem mit den Privilegien des IE-Prozesses (dies sind i.A. die Privilegien des Benutzers, der den IE gestartet hat)
  (user compromise)

Typ der Verwundbarkeit

• CVE-2008-4258:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4259:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4260:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4261:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4844:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2008-4258:
  hoch
• CVE-2008-4259:
  hoch
• CVE-2008-4260:
  hoch
• CVE-2008-4261:
  hoch
• CVE-2008-4844:
  hoch

Beschreibung

• CVE-2008-4258:
  Ein Pufferüberlauf, der bei der Instantiierung von COM-Objekten durch den Internet Explorer auftreten kann, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

  COM-Objekte können durch entsprechenden Code in HTML-Seiten instantiiert werden.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, da i.A. der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

• CVE-2008-4259:
  

  Beim Zugriff auf ein Dokument mittels WebDAV kann ein Pufferüberlauf im Internet Explorer auftreten, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst einen entsprechenden WebDAV-Zugriff durchzuführen.

• CVE-2008-4260:
  

  Eine Schwachstelle in der Speicherverwaltung des Internet Explorers kann einen Pufferüberlauf provozieren, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

• CVE-2008-4261:
  

  Bei der Verarbeitung von HTML-Tags durch den Internet Explorer kann ein Pufferüberlauf auftreten, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder HTML-E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

• CVE-2008-4844:
  

  Eine Schwachstelle in der Speicherverwaltung des Internet Explorers die bei der Verarbeitung von speziell präpariertem XML-code auftritt, kann einen Pufferüberlauf provozieren, der von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden Betriebssystem auszuführen. Der Code wird dabei mit den Privilegien des IE-Prozesses ausgeführt. Dies sind i.A. die Privilegien des Benutzers, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer einen Benutzer dazu veranlasst eine entsprechende Webseite zu besuchen oder E-Mail-Nachricht zu öffnen. Insbesondere in letzterem Fall kann dies sehr leicht geschehen, wenn der Internet Explorer automatisch beim Öffnen einer entsprechenden Nachricht gestartet wird.

Workaround

• CVE-2008-4258:
  
  • Die Erfolgreiche Ausnutzung der Schwachstelle kann verhindert werden, wenn die Instantiierung von COM-Objekten durch den Internet Explorer abgeschaltet wird. Details zu den entsprechenden Konfigurationsänderungen finden sich hier sowie im Microsoft Knowledge Base Article 240797 .
  • Konfiguration des IE in der Weise, dass vor Ausführung aktiver Inhalte eine Nachfrage beim Benutzer erfolgt oder Abschalten des Active Scripting.
  • Setzen aller IE-Sicherheitszonen auf "hoch" bzw. "high", so dass vor jeder Ausführung aktiver Inhalte ein Dialog mit dem Benutzer erfolgt.
• CVE-2008-4259:
  
  • Abschaltung des WebClientservice im Internet Explorer
• CVE-2008-4260:
  • Nichtverwendung betroffener IE-Versionen.
    Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
  • Es ist kein anderer Workaround zur Verhinderung der erfolgreichen Ausnutzung der Schwachstelle bekannt.
• CVE-2008-4261:
  
  • Nichtverwendung betroffener IE-Versionen.
    Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
  • Es ist kein anderer Workaround zur Verhinderung der erfolgreichen Ausnutzung der Schwachstelle bekannt.
• CVE-2008-4844:
  
  • Nichtverwendung betroffener IE-Versionen.
    Alternativ können andere Browserprodukte, etwa Mozilla Firefox eingesetzt werden. eingesetzt werden.
  • Deaktivierung des Microsoft OLE DB Row Position Library COM object
    Dieses Objekt kann durch Löschung des folgenden Registry Keys deaktiviert werden:

          Windows Registry Editor Version 5.00
    
          [HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
    

    Seiteneffekt der Löschung dieses Keys ist das Nichtfunktionieren aller Applikationen, die dieses das Objekt aufrufen. Jedoch wären auch diese Applikationen potentiell von der Schwachstelle betroffen.

Gegenmaßnahmen

• CVE-2008-4258:
  Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
• CVE-2008-4259:
  Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
• CVE-2008-4260:
  Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
• CVE-2008-4261:
  Installation der mit dem Microsoft Security Bulletin MS08-073 bereitgestellten Patches bzw. Updates.
• CVE-2008-4844:
  Installation der mit dem Microsoft Security Bulletin MS08-078 bereitgestellten Patches bzw. Updates. (UPDATE) verfügbar.

Vulnerability ID

• CVE-2008-4258
• CVE-2008-4259
• CVE-2008-4260
• CVE-2008-4261
• CVE-2008-4844

Weitere Information zu diesem Thema

• CVE-2008-4259:
  ZDI-08-087: Microsoft Internet Explorer Webdav Request Parsing Heap Corruption Vulnerability
• CVE-2008-4261:
  Defense Security Advisory 12.09.08: Microsoft Internet Explorer 5.01 EMBED tag Long File Name Extension Stack Buffer Overflow Vulnerability (iDefense Exclusive)
• CVE-2008-4844:
  
  • Microsoft Security Advisory (961051) Vulnerability in Internet Explorer Could Allow Remote Code Execution
  • US-CERT bzw. CERT/CC: Vulnerability Note VU#493881
  • Microsoft Security Bulletin MS08-078: Security Update for Internet Explorer (960714)

Exploit Status

• CVE-2008-4844:
  Die Schwachstelle wird zunehmend ausgenutzt, funktionierender Exploitcode ist in Umlauf und in Malware verbaut.

Revisionen dieser Meldung

• V 1.0 (2008-12-10)
• V 1.1 (2008-12-16)
  • CVE-2008-4844 hinzugefügt
  • Exploit Status aktualisiert
• V 1.2 (2008-12-17)
  • Patchinformation für CVE-2008-4844 hinzugefügt

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/