RUS-CERT-568 – Archivierte Meldung

Meldung Nr: RUS-CERT-568

[MS/IE] Weitere Schwachstellen im IE - Patch verfügbar
(2001-11-15 17:28:23+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-055.asp

Microsoft stellt einen Patch für den Internet Explorer 5.5/6.0 zur Verfügung, welcher u.a. Schwachstellen im Zusammenhang mit Cookies beseitigt.

Betroffene Systeme

Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0

Frühere Versionen (wie etwa der Internet Explorer 5.0) werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen untersucht. Der IE 5.0 scheint nach derzeitigem Kenntnisstand von dieser Schwachstelle jedoch nicht betroffen zu sein.

Einfallstor
arglistige Webseite oder HTML-E-Mail

Auswirkung

Mittels einer arglistigen Webseite oder HTML-E-Mail kann der Inhalt beliebiger Cookies ausgelesen oder geändert werden.
Cookies können vertrauliche Daten (z.B Passwörter) beinhalten!
siehe 1.
Aufruf der Webseite erfolgt im Sicherheitskontext Local Intranet-Zone anstelle der Internet-Zone

Typ der Verwundbarkeit
design flaw

Gefahrenpotential

mittel bis hoch
mittel bis hoch
niedrig bis hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft stellt einen Patch zu der am 09.11.2001 in der RUS-CERT-Nachricht ([MS/IE] Mittels Active Scripting können Webseiten auf beliebige Cookies zugreifen) beschriebenen Schwachstelle zur Verfügung. Dieser Patch beseitigt neben der bereits beschriebenen Schwachstelle im Zusammenhang mit Cookies eine weitere Möglichkeit, lokal gespeicherte Cookies mittels arglistigen HTML-Emails oder Webseiten auszulesen.
Des weiteren wird eine Variante der am 11.10.2001 im RUS-CERT-Ticker [MS/IE] Schwachstellen im Internet Explorer beschriebenen Schwachstelle bei der Verbeitung von speziellen IP-Adressen ohne Punkte behoben. Durch die spezielle URL-Angabe mit IP-Adressen ohne Punkte erfolgt der Aufruf der Webseite im Sicherheitskontext Local Intranet-Zone anstelle der Internet-Zone. Die Local Intranet-Zone weist standardmässig schwächere Sicherheitseinstellungen auf.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

Microsoft Internet Explorer 5.5 und 6.0:
http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp

Vulnerability ID

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS01-055 Cookie Data in IE Can Be Exposed or Altered Through Script Injection
Bugtraq Microsoft IE cookies readable via about: URLS

(tf)

Weitere Artikel zu diesem Thema:

[MS/IE] Mittels Active Scripting können Webseiten auf beliebige Cookies zugreifen (2001-11-09)
Durch eine Schwachstelle im Microsoft Internet Explorer kann mittels arglistigen Webseiten oder HTML-E-Mails auf beliebige Cookies zugegriffen werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=568