Microsoft stellt einen Sammelpatch für den Internet Explorer zur Verfügung, der die bisherigen Sicherheitsupdates beinhaltet und drei weitere Schwachstellen behebt.

Betroffene Systeme

• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0

Einfallstor
Arglistige Webseite oder HTML-E-Mail

Auswirkung

1. Ausführung von beliebigem Programmcode mit den Privilegien den Benutzers, der die arglistige Webseite oder HTML-E-Mail betrachtet.
2. Es können beliebige Dateien, die in einem Browser angezeigt werden können, an eine arglistige Webseite übermittelt werden
3. Vortäuschung eines anderen Dateinamen/Dateityp bei einem Download, wodurch ein ausführbares Programm beispielsweise als Textdatei angezeigt wird. Beim Öffnen des vermeintlichen Textfile würde das Programm ohne eine Warnung ausgeführt.

Typ der Verwundbarkeit

1. design flaw
2. design flaw
3. design flaw

Gefahrenpotential

1. hoch
2. mittel
3. mittel bis hoch

Beschreibung
Der Sammelpatch für den Internet Explorer beinhaltet die bisherigen Sicherheisupdates sowie Updates zu folgenden neuen Schwachstellen:

1. Der Microsoft Internet Explorer weist eine Schwachstelle bei der Verarbeitung der HTML Headerfelder Content-Disposition und Content-Type auf. Mittels dieser HTML Headerfelder entscheiden Browser, wie eine heruntergeladene Datei weiterverarbeitet wird. Durch geeignete Wahl der HTML Headerfelder Content-Disposition und Content-Type kann eine arglistige Webseite oder HTML-E-Mail beliebigen Programmcode bei der Betrachtung der Webseite/HTML-E-Mail ohne Interaktion des Anwenders auf dessen System mit den Privilegien des Anwenders ausführen.
   Nach Angaben von Microsoft ist von dieser Schwachstelle der IE 6.0 nicht jedoch der IE 5.5 SP2 betroffen.
2. Durch eine neue Variante der Frame Domain Verification-Schwachstelle (MS00-033) kann ein Angreifer mittels einer arglistigen Webseite Dateien auf dem Rechner eines Besuchers dieser arglisten Webseite auslesen. Das Auslesen der Dateien erfolgt mit den Privilegien des die arglistige Webseite besuchenden Benutzer und setzt die genaue Kenntnis der Pfadangabe (zu den Dateien die ausgelesen werden sollen) sowie die Möglichkeit, diese Dateien im Browserfenster darzustellen, voraus. Im Browserfenster können beispielsweise Dateien wie .htm, .txt, .doc dargestellt werden, nicht jedoch .exe oder .xls.
3. Durch eine Schwachstelle im Microsoft Internet Explorer, bei der Verarbeitung von HTML Headerfeldern, kann beim Download einer Datei ein falscher Dateiname angezeigt werden. Dadurch kann beispielsweise eine arglistige Webseite dem Benutzer beim Download einer Datei einen falschen Dateinamen vorspiegeln, wodurch ein ausführbares Programm als Text-, Image-, Audio- oder beliebigen anderen Dateityp angezeigt wird. Durch diesen Umstand könnte der Dateiname beim Download beispielsweise als file.txt anstelle des eigentlichen file.txt.exe angegeben werden. Sollte der Anwender die scheinbare Text-Datei öffnen, wird ohne weitere Warnung die EXE-Datei ausgeführt.

Gegenmaßnahmen
Microsoft stellt einen Sammelpatch für den IE 5.5 und 6.0 zur Verfügung:

• http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp

• http://cert.uni-stuttgart.de/ms-ie-updates.php

Workaround

1. Verhinderung jeglichen Dateidownloads durch entsprechende Konfiguration des IE: Tools|Internet Options|Security|Custom Level|Downloads|File download "disable".
   Hinweis: Bei Aktivierung dieser Einstellung sind keine Downloads mehr möglich.
2. derzeit kein bekannter Workaround verfügbar
3. Beim Download von Dateien sollten diese auf dem System gespeichert werden und keine direkte Ausführung erfolgen.
   Alternativ: Verhinderung jeglichen Dateidownloads durch entsprechende Konfiguration des IE: Tools|Internet Options|Security|Custom Level|Downloads|File download "disable".
   Hinweis: Bei Aktivierung dieser Einstellung sind keine Downloads mehr möglich.

Vulnerability ID

• CAN-2001-0727 (File Execution Vulnerability)
• CAN-2001-0874 (Frame Domain Verification Variant)
• CAN-2001-0875 (File Name Spoofing Vulnerability)

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS01-058 13 December 2001 Cumulative Patch for IE
• Bugtraq MSIE may download and run progams automatically
• RFC 1806 Communicating Presentation Information in Internet Messages: The Content-Disposition Header
• Microsoft Security Bulletin MS00-033 Patch Available for "Frame Domain Verification", "Unauthorized Cookie Access", and "Malformed Component Attribute" Vulnerabilities
• Bugtraq File extensions spoofable in MSIE download dialog

Weitere Artikel zu diesem Thema:

• [MS/IE] Sammelpatch für den Microsoft Internet Explorer (2002-02-13)
  Microsoft stellt einen Sammelpatch zur Verfügung, der einige Schwachstellen des Internet Explorer behebt.
• [MS/IE] Schwachstellen im Internet Explorer (2001-10-11)
  Der Internet Explorer besitzt mehrere Schwachstellen, beispielsweise bei der Verarbeitung von speziellen IP-Adressen ohne Punkte, bei der die Webseiten im Sicherheitskontext der Intranet Zone ausgeführt werden.
• [MS/IE] Schwachstellen im Microsoft IE 5.01/5.5 (2001-05-17)
  Der Microsoft Internet Explorer 5.01/5.5 besitzt zum einen eine unzureichende Überprüfung von Zertifikaten, wodurch sich eine arglistige Webseite als vertrauenswürdige Webseite ausgeben könnte, zum anderen kann die URL Anzeige im Adressfeld des Browserfenster gefälscht werden.
• [MS/IE 5.x] Schwachstelle in der Cache-Architektur des Internet Explorers (2001-03-09)
  Die Cache-Architektur des Internet Explorers besitzt eine Schwachstelle wodurch beim Betrachten einer arglistigen Webseite oder HTML-Email beliebiger Programmcode ausgeführt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/