Microsoft hat einen neuen Sammelpatch für den Microsoft Internet Explorer veröffentlicht, der sechs weitere Sicherheitslücken behebt.

Betroffene Systeme

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0

Einfallstor

• 1.-6. Arglistige Webseite, HTML-E-Mail sowie HTML-Newsgruppen-Artikel
  

Auswirkung

• 1. Ausführung von beliebigem Programmcode mit den Privilegien des Anwenders. Bei Windows 95/98/ME bzw. falls der Benutzer mit administrativen Privilegien arbeitet, kann diese Schwachstelle zu einer Systemkompromittierung führen.
  (remote code execution, remote user compromise)
• 2. Es können lokale Dateien ausgelesen und beispielsweise an einen Webserver übertragen werden.
• 3. Es können Cookies ausgelesen werden. (Cookies können vertrauliche Daten, z.B. Passwörter enthalten.)
• 4. Die Sicherheitszonen des IE können umgangen werden.
• 5., 6. siehe 1.

Typ der Verwundbarkeit

• 1. Cross-Site Scripting
• 2. design flaw
• 3. design flaw
• 4. design flaw
• 5., 6. design flaw

Gefahrenpotential

• 1. hoch
• 2. mittel bis hoch
• 3. mittel
• 4. niedrig bis mittel
• 5., 6. hoch

Beschreibung

• 1. Durch eine cross site-scripting-Schwachstelle können arglistige Webseiten bzw. HTML-E-Mails beliebigen Programmcode ausführen. Der Programmcode wird mit den Privilegien des Anwenders ausgeführt. Microsoft gibt an, dass es sich bei dieser Schwachstelle um einen Fehler in einer lokalen, mit dem Internet Explorer installierten, Datei handelt. Es deutet einiges darauf hin, dass es sich aber vielmehr um einen Fehler in der Sicherheitsüberprüfung von dialogArguments-Eigenschaften (siehe RUS-CERT-Meldung #792) handelt. Nach Angaben von Microsoft ist von dieser Schwachstelle lediglich der Internet Explorer 6.0 betroffen, allerdings gibt es anderstlautende Hinweise, nach denen ebenfalls der IE 5.01/5.5 betroffen ist. Der nun zur Verfügung gestellte Patch beseitigt diese Schwachstelle lediglich im IE 6.0, die scheinbar vorhandene Schwachstelle im IE 5.01/5.5 wird bislang durch diesen Patch nicht behoben. Ferner sei darauf hingewiesen, dass entgegen den Angaben im Microsoft Security Bulletin MS02-023 (Revision 1.0) zur Ausnützung dieser Schwachstelle keine aktive Handlung des Anwenders (in Form eines notwendigen Klicks auf einen speziell gearteten URL-Link) notwendig ist.
• 2. Durch eine Schwachstellen in einem HTML-Objekt zur Unterstützung von Cascading Style Sheets (CSS) können arglistige Webseiten/HTML-E-Mails lokale Dateien auslesen.
• 3. Durch eine Schwachstelle im Internet Explorer kann in Cookies eingebetteter Scriptcode auf andere Cookies zugreifen.
• 4. Durch eine Schwachstelle im Internet Explorer können arglistige Webseiten in einem anderen Sicherheitskontext ausgeführt werden.
• 5., 6. Der Internet Explorer weist zwei Schwachstellen, Varianten der bereits unter RUS-CERT-Meldung #627 beschriebenen Schwachstelle bei der Verarbeitung der HTML Headerfelder Content-Disposition und Content-Type, auf. Mittels dieser HTML Headerfelder entscheiden Browser, wie eine heruntergeladene Datei weiterverarbeitet wird. Durch geeignete Wahl der HTML Headerfelder Content-Disposition und Content-Type kann eine arglistige Webseite oder HTML-E-Mail beliebigen Programmcode bei der Betrachtung der Webseite/HTML-E-Mail ohne Interaktion des Anwenders auf dessen System mit den Privilegien des Anwenders ausführen.

Der Sammelpatch ändert ferner die Standardeinstellungen für die "Restricted Zone" dergestallt, dass Frames deaktiviert werden. Da neuere Versionen von Outlook zur Darstellung von HTML-E-Mails auf diese "Restricted Zone" zugreifen, können HTML-E-Mails nach Angaben von Microsoft keine weiteren Fenster öffnen bzw. automatisch Downloads initiieren. Dies gilt allerdings nur, falls aktive Inhalte nicht in fehlerhafterweise in anderen Zonen ausgeführt werden können. In der Vergangenheit wies der Internet Explorer jedoch immer wieder Schwachstellen in diesem Bereich auf.

Gegenmaßnahmen
Microsoft stellt einen Sammelpatch zur Verfügung:

• http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp

Vulnerability ID

• CAN-2002-0189 Cross-Site Scripting in Local HTML Resource
• CAN-2002-0191 Local Information Disclosure through HTML object
• CAN-2002-0192 Script within Cookies Reading Cookies
• CAN-2002-0190 Zone Spoofing through Malformed Web Page
• CAN-2002-0193, CAN-2002-0188 "Content Disposition" Variants

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-023 15 May 2002 Cumulative Patch for Internet Explorer (Q321232)
• GreyMagic Security Advisory Appendix GM#001-AX Appendix to "IE allows universal Cross Site Scripting"
• Thor Larholm security advisory TL#002 IE allows universal Cross Site Scripting

Revisionen

• V.1.0 (2002-05-16)
• V.2.0 (2002-05-17) Weitere Informationen bzgl. der cross site-scripting-Schwachstelle hinzugefügt

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/