RUS-CERT-1607 – Archivierte Meldung

Meldung Nr: RUS-CERT-1607

[MS/IE] Schwachstelle im Internet Explorer 8
(2009-11-26 15:12:08.698741+00)

Quelle: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4074

Eine Schwachstelle im Internet Explorer 8 erlaubt einem Angreifer, Cross-Site-Scripting-Angriffe (XSS) auch über Webanwendungen auszuführen, die selbst nicht gegen XSS-Angriffe verwundbar sind.

Zusammenfassung

CVE-2009-4074:

Betroffen:	Microsoft Internet Explorer 8
Nicht betroffen:	Microsoft Internet Explorer der Versionen vor 8
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	HTML-Code
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	XSS
Typ:	Entwurfsfehler
Gefahrenpotential:	mittel (je nach Anwendung auch höher)
Workaround:	bedingt
Gegenmaßnahmen:	Bislang kein Patch verfügbar
Vulnerability ID:	CVE-2009-4074

Betroffene Systeme

Microsoft Internet Explorer 8

Nicht betroffene Systeme

Offenbar alle Versionen des IE vor der Version 8

Plattform

Microsoft Windows Betriebssysteme
Apple Macintosh OS X

Einfallstor

HTML-Code

Angriffsvoraussetzung

Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Webseite zu besuchen
(user interaction)

Angriffsvektorklasse

über eine Netzwerkverbindung (remote)

Auswirkung

Ausführung beliebigen Scriptcodes im Kontext einer anderen Webseite (XSS)
()

Typ der Verwundbarkeit

Entwurfsfehler (Browserseitig)
(design flaw)

Gefahrenpotential

je nach angegriffener Anwendung mittel bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Entwurfsschwachstelle in den Routinen zur Verhinderung von XSS-Angriffen des Internet Explorers 8 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Skriptcode auf dem beherbergenden System auszuführen Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der den Internet Explorer gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Microsoft implementierte im Internet Explorer 8 Funktionen, die Cross-Site-Scripting-Angriffe verhindern sollen. Vereinfacht erklärt, verändern diese Funktionen die Kodierung der Inhalte der verarbeiteten Webseiten in einer Weise, die eingeschleusten Script-Code unbrauchbar macht und er so auf dem beherbergen System nicht mehr ausgeführt werden kann.

Genau diesen Umstand macht sich die in dieser Schwachstelle ausgenutzte Angriffstechnik zunutze. Durch die Vorhersagbarkeit der Neukodierung der Inhalte und deren offensichtliche Fehlerhaftigkeit ist es möglich, Seiten so zu präparieren, dass nach der Veränderung durch den Internet Explorer ausführbarer Code dargestellt und ausgeführt wird.

Nach derzeitigem Kenntnisstand ist Microsoft zwar schon länger über das Problem unterrichtet, hat jedoch bislang keinen Patch zu seiner Behebung bereitgestellt.

Workaround

Als Sofortmaßnahme wird empflohlen, JavaScript in betroffenen Browserinstallationen zu deaktivieren.
Hinweis: Diese Maßnahme kann zu Funktionalitäts- und Komforteinschränkungen führen. Sie behebt das Problem nicht, sondern schließt lediglich den häufigsten und einen der gefährlichsten Angriffsvektoren.
Umstieg auf einen anderen Browser

Gegenmaßnahmen

Bislang ist kein Patch vorhanden.

Vulnerability ID

CVE-2009-4074

Weitere Information zu diesem Thema

The Register: Major IE8 flaw makes 'safe' sites unsafe

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1607