[MS/IE] Neuer Sammelpatch für Internet Explorer
(2002-04-02 12:57:47+00)
Quelle:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-015.aspMicrosoft hat einen neuen Sammelpatch für den Microsoft Internet Explorer veröffentlicht, der zwei weitere Sicherheitslücken behebt.
Betroffene Systeme
- Microsoft Internet Explorer 5.01 (2. Schwachstelle)
- Microsoft Internet Explorer 5.5 (1. und 2. Schwachstelle)
- Microsoft Internet Explorer 6.0 (1. und 2. Schwachstelle)
Einfallstor
- Arglistige Webseite
- Arglistige Webseite oder HTML-E-Mail
Auswirkung
- Ausführung von aktiven Inhalten in der Local Computer Zone
- Aufruf beliebiger Programme auf dem Rechner
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
- Die erste Schwachstelle ermöglicht es einem Angreifer, aktive Inhalte in der Local Computer Zone auszuführen. Dadurch kann ein Angreifer mittelbar beliebigen Code mit den Rechten des Benuzters ausführen, der eine von ihm gestaltete Webseite besucht. (Eine Ausnutzung über E-Mail ist laut Microsoft nicht möglich.)
- Die zweite Schwachstelle wurde bereits in "[MS/IE] Schwachstelle im Microsoft Internet Explorer" zusammengefaßt. Im Zusammenspiel mit Produkten Dritter ist sie jedoch gefährlicher als angenommen.
Zusätzlich behebt der Sammelpatch alle bisher von Microsoft berücksichtigten Schwachstellem (siehe vorheriger Sammelpatch) bis auf den Patch gegen eine VBScript-Schwachstelle.
Gegenmaßnahmen
- Einspielen des Sammelpatches.
Vulnerability ID
- CAN-2002-0078 (Skript-Ausführung über Cookies)
- CAN-2002-0077 (automatischer Programmaufruf)
Weitere Artikel zu diesem Thema:
- [MS/IE] IE-Schwachstelle im Zusammenspiel mit Eudora gefährlicher als angenommen (2002-04-02)
Durch eine geschickt formatierte E-Mail-Nachricht können Eudora und Internet Explorer dazu bewogen werden, ohne Rückfrage beim Benutzer in der E-Mail-Nachricht enthaltenen Programmcode auszuführen. - [MS/IE] Schwachstelle im Microsoft Internet Explorer (2002-03-01)
Durch eine Schwachstelle im Microsoft Internet Explorer kann eine arglistige Webseite oder HTML-E-Mail ohne Active Scripting oder ActiveX beliebige Programme aufrufen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=767