Microsoft stellt einen Patch für den Internet Explorer zur Verfügung, der eine Schwachstelle in VBScript bei der Validierung von Cross-Domain-Zugriffen beseitigt. Durch diese Schwachstelle können arglistige Webseiten oder HTML-E-Mails beliebige Dateien, die in einem Web-Browser darstellbar sind, auslesen.

Betroffene Systeme

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0

Einfallstor
Arglistige Webseite oder HTML-E-Mail

Auswirkung
Mittels einer arglistigen Webseite oder HTML-E-Mail kann der Inhalt beliebiger Cookies ausgelesen werden und lokale Dateien, die in einem Webbrowser darstellbar sind, an einen Webserver übertragen werden. (Cookies können vertrauliche Daten, z.B. Passwörter enthalten.) Die Dateizugriffe erfolgen dabei mit den Privilegien des die arglistige Webseite bzw. die HTML-E-Mail betrachtenden Benutzers.

Typ der Verwundbarkeit
design flaw (Verstoß gegen die same origin policy)

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Microsoft Internet Explorer weist, wie bereits am 02.01.2002 unter [MS/IE] Schwachstellen im Internet Explorer beschrieben, eine Schwachstelle auf, da VBScript die Validierung von Cross-Domain-Zugriffen fehlerhaft durchführt. Durch diesen Umstand kann entgegen der same origin policy Scriptcode einer Webseite auf Eigenschaften einer anderen Webseite zugreifen. Mittels einer arglistigen Webseite oder HTML-E-Mail können dadurch beliebige lokale Dateien, die in einem Webbrowser darstellbar sind (z.B. Cookies) ausgelesen werden. Ferner können die Inhalte von Webseiten Dritter, die der Anwender besucht, an einen Webserver übermittelt werden, wodurch möglicherweise sensitive Informationen wie Passwörter und Kreditkarteninformationen protokolliert werden.

Der nun von Microsoft zur Verfügung gestellte Patch beseitigt lediglich die Schwachstelle in VBScript, nicht jedoch von Script-Sprachen von Drittherstellern wie beispielsweise Perl oder Python. Microsoft hat Veränderungen an der Architektur des Internet Explorers angekündigt, durch die solche Schwachstellen mit einem zukünftigen Service Pack für den Internet Explorer beseitigen soll. JScript ist von dieser Schwachstelle nicht betroffen.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung

• http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp
• http://www.microsoft.com/Windowsupdate

• http://cert.uni-stuttgart.de/ms-ie-updates.php

Vulnerability ID

• CAN-2002-0052

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-009 Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files

Revisionen

• V.1.0 (2002-02-25)
• V.2.0 (2002-03-15) Microsoft hat neue Patches veröffentlicht, welche Probleme mit den bisherigen Patches bei der Interaktion mit Drittprodukten, die VBScript einsetzen, beheben.

Weitere Artikel zu diesem Thema:

• [MS/IE,Windows XP, SQL Server] Schwachstelle in zentraler XML-Komponente (2002-02-25)
  Durch eine Schwachstelle im XMLHTTP Active-X-Control der Microsoft XML Core Services (MSXML) kann eine arglistige Webseite beliebige lokale Dateien auslesen.
• [MS/IE] Sammelpatch für den Microsoft Internet Explorer (2002-02-13)
  Microsoft stellt einen Sammelpatch zur Verfügung, der einige Schwachstellen des Internet Explorer behebt.
• [MS/IE] Schwachstellen im Internet Explorer (2002-01-02)
  Mittels Document.Open() ohne ein folgendes Close() können arglistige Webseiten oder HTML-E-Mails Cookies auslesen und Dateien, die im Browser dargestellt werden können, einsehen. Ferner weist der IE Schwachstelle auf, die zum Auslesen von lokalen Dateien und zu einen DoS genutzt werden können.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/