Bug-Report: Windows Server 2003
Kumulatives Sicherheits-Update für Internet Explorer
Dieses Update behebt insgesamt acht Schwachstellen im Internet Explorer. Über gravierende Lücken können externe Angreifer in den schwerwiegendsten Fällen die vollständige Kontrolle über das attackierte System erlangen.
Im Einzelnen behebt das Update folgende Sicherheitslücken:
1. Die erste Lücke beruht auf einem Pufferüberlauf in der Verarbeitung von Cascading Style Sheets. Dazu muss der Angreifer lediglich eine speziell präparierte Webseite erstellen und den Benutzer auf diese Seite locken. Durch Ausnutzen der Lücke kann er kompletten Systemzugriff und Programme mit den Rechten des angegriffenen Benutzers erhalten. Ein Angriff per HTML-E-Mail ist ebenfalls möglich.
2. Ein Fehler im Sicherheitszonenmodell ermöglicht es Angreifern, Scripts im Kontext der lokalen Zone laufen zu lassen. Auch hierfür muss der Angreifer eine spezielle Webseite erstellen und den Benutzer dorthin locken oder eine HTML-E-Mail an das Opfer schicken.
3. Die für die Installation von aktiven Komponenten zuständige Routine Inseng.dll weist einen ungeprüften Puffer auf, über den ein Angreifer beliebigen Code auf dem System ausführen kann. Voraussetzung dafür ist, dass die Ausführung von ActiveX -Komponenten erlaubt ist. Angriffsweg ist wiederum eine Webseite oder eine HTML-E-Mail.
4. Bei der Verarbeitung von Drag&Drop-Events tritt ein Fehler auf, der es Angreifern ermöglicht, beliebige Dateien auf dem System des Opfers abzuspeichern, unter anderem auch im Autostart-Ordner, so dass ein Programm beim nächsten Systemstart automatisch ausgeführt wird.
5. Auf Systemen mit Double Byte Character Set lässt sich die in der Adressleiste angezeigte URL so fälschen, dass sie nicht die tatsächlich besuchte Website anzeigt.
6. Wenn ein installiertes Plug-in den IE zu einer anderen Seite navigiert, ist es möglich, dass in der Adressleiste eine falsche URL angezeigt wird (URL-Spoofing).
7. Ein Fehler bei der Verarbeitung von Script-Befehlen in Image-Tags (IMG) ermöglicht es einem Angreifer, beliebige Dateien ohne Benutzerinteraktion auf der Festplatte abzulegen, unter anderem auch im Autostart-Ordner.
8. Bei der Validierung des Cache-Inhalts von SSL-geschützten Sites existiert ein Fehler, über den ein Angreifer beliebigen Scriptcode im Kontext der SSL-Site ausführen lassen kann.
Besonders kritisch wird es, wenn das Opfer mit Administratorrechten ausgestattet ist. Dann kann ein erfolgreicher Hacker die vollständige Kontrolle über das betroffene System erlangen. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.
Auf Grund der gravierenden Folgen dieser Sicherheitslücken empfiehlt Microsoft die sofortige Installation des Updates.
Datum | 12.10.2004 |
|---|---|
| |
Betrifft | Internet Explorer 5,01 mit SP3, SP4, IE 5.5 mit SP2, IE 6 für Windows XP mit SP2, IE 6.0 mit SP1 (alle Versionen vor Windows 2003), Internet Explorer 6 für Windows 2003 (einschließlich 64-Bit-Edition) |
Wirkung | Remote-Codeausführung |
Patch | |
Abhilfe | Patch installieren |
Infos |