Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-568

[MS/IE] Weitere Schwachstellen im IE - Patch verfügbar
(2001-11-15 17:28:23+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-055.asp

Microsoft stellt einen Patch für den Internet Explorer 5.5/6.0 zur Verfügung, welcher u.a. Schwachstellen im Zusammenhang mit Cookies beseitigt.

Betroffene Systeme

Frühere Versionen (wie etwa der Internet Explorer 5.0) werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen untersucht. Der IE 5.0 scheint nach derzeitigem Kenntnisstand von dieser Schwachstelle jedoch nicht betroffen zu sein.

Einfallstor
arglistige Webseite oder HTML-E-Mail

Auswirkung

  1. Mittels einer arglistigen Webseite oder HTML-E-Mail kann der Inhalt beliebiger Cookies ausgelesen oder geändert werden.
    Cookies können vertrauliche Daten (z.B Passwörter) beinhalten!
  2. siehe 1.
  3. Aufruf der Webseite erfolgt im Sicherheitskontext Local Intranet-Zone anstelle der Internet-Zone

Typ der Verwundbarkeit
design flaw

Gefahrenpotential

  1. mittel bis hoch
  2. mittel bis hoch
  3. niedrig bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft stellt einen Patch zu der am 09.11.2001 in der RUS-CERT-Nachricht ([MS/IE] Mittels Active Scripting können Webseiten auf beliebige Cookies zugreifen) beschriebenen Schwachstelle zur Verfügung. Dieser Patch beseitigt neben der bereits beschriebenen Schwachstelle im Zusammenhang mit Cookies eine weitere Möglichkeit, lokal gespeicherte Cookies mittels arglistigen HTML-Emails oder Webseiten auszulesen.
Des weiteren wird eine Variante der am 11.10.2001 im RUS-CERT-Ticker [MS/IE] Schwachstellen im Internet Explorer beschriebenen Schwachstelle bei der Verbeitung von speziellen IP-Adressen ohne Punkte behoben. Durch die spezielle URL-Angabe mit IP-Adressen ohne Punkte erfolgt der Aufruf der Webseite im Sicherheitskontext Local Intranet-Zone anstelle der Internet-Zone. Die Local Intranet-Zone weist standardmässig schwächere Sicherheitseinstellungen auf.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=568