Der Sammelpatch für den Internet Explorer behebt sechs weitere Schwachstellen, darunter Pufferüberlaufschwachstellen, durch die Angreifer beliebigen Programmcode ausführen können.

Betroffene Systeme

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 5.5
• Microsoft Internet Explorer 6.0

Einfallstor
Arglistige Webseite, HTML-E-Mail sowie HTML-Newsgruppen-Artikel

Auswirkung

1. Ausführung von beliebigem Programmcode mit den Privilegien des Anwenders. Bei Windows 95/98/ME bzw. falls der Benutzer mit administrativen Privilegien arbeitet, kann diese Schwachstelle zu einer Systemkompromittierung führen.
   (remote code execution, remote user compromise)
2. Ausführung von beliebigem Programmcode mit den Privilegien des Anwenders.
3. Auslesen beliebiger XML-basierter Dateien mit den Rechten des Benutzers.
4. Vortäuschen einer anderen Datei-Download-Quelle.
5. Auslesen von Dateien, die im IE dargestellt werden können, sowie Ausführung von installierten Programmen mit den Rechten des Benutzers.
6. Ausführung von HTML-Skripten in der local computer zone des IE.

Typ der Verwundbarkeit

1. buffer overflow bug
2. buffer overflow bug
3. design flaw
4. design flaw
5. Verletzung der Same Origin Policy
6. Cross-Site Scripting bug

Gefahrenpotential

1. hoch
2. hoch
3. mittel
4. kein direktes Gefahrenpotential
5. mittel bis hoch
6. hoch

Beschreibung

1. Die bereits in der RUS-CERT-Meldung #846 beschriebene Pufferüberlaufschwachstelle bei der Verarbeitung der von Gopher-Servern gelieferten Daten, ermöglicht Angreifern beliebigen Programmcode mit den Privilegien des Anwenders auszuführen.
2. Ein ActiveX Control, welches standardmäßig nicht mit dem Internet Explorer ausgeliefert wird, aber bislang automatisch von Microsoft heruntergeladen und installiert wurde, sobald es benötigt wurde, enthält eine Pufferüberlaufschwachstelle. Das verwundbare Legacy Text Formatting ActiveX Control ermöglicht Webseiten, Text in unterschiedlichen Textformaten darzustellen. Durch diese Schwachstelle könnnen arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenposting auf Systemen, bei denen das ActiveX Control bereits installiert ist, beliebigen Programmcode mit den Rechten des Benutzers ausführen.
   Möglicherweise ist ein Version-Rollback-Angriff möglich.
3. Der Internet Explorer weist eine Schwachstelle in der HTML-Direktive, die XML-Dokumente anzeigen, auf. Durch diese Schwachstelle können arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel beleibige XML-basierte Dateien auslesen.
4. Die Anzeige der Quelle im Dialogfenster von File Downloads (Datei-Download) kann durch eine Schwachstelle gefälscht werden. Dadurch können Angreifer die angezeigte Quelle einer Datei manipulieren und dem Benutzer eine vertrauenswürdige Herkunft vortäuschen.
5. Der IE 5.5/6.0 führt die Überprüfung der Domänenzugehörigkeit im Zusammenhang mit "Object tag" fehlerhaft durch. Durch diese Schwachstelle können Angreifer beliebige Dateien auslesen, sofern sie im IE dargestellt werden können. Ferner können ausführbare Programme durch HTML-Seiten aufgerufen werden - beides erfolgt mit den Privilegien des Benutzers.
6. Der IE weist eine Variante der bereits in der RUS-CERT-Meldung #814 beschriebenen cross site-scripting-Schwachstelle auf, wodurch Angreifer HTML-Skripte in der local computer zone ausführen können.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

• http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

• http://cert.uni-stuttgart.de/ms-ie-updates.php

Vulnerability ID

• CAN-2002-0646 Buffer Overrun in Gopher Protocol Handler
• CAN-2002-0647 Buffer Overrun in Legacy Text Formatting ActiveX Control
• CAN-2002-0648 XML File Reading via Redirect
• CAN-2002-0722 File Origin Spoofing
• CAN-2002-0723 Cross Domain Verification in Object Tag
• CAN-2002-0691 Variant of Cross-Site Scripting in Local HTML Resource

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-047 Cumulative Patch for Internet Explorer (Q323759)
• You Cannot Connect to Terminal Services from a Web Page (Microsoft Q328002)

Revisionen dieser Meldung

• V.1.0 (2002-08-23)
• V.1.1 (2002-08-26) Verweis auf Q328002 (You Cannot Connect to Terminal Services from a Web Page) hinzugefügt

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/