Patch Day Oktober 2004 - Rundumschlag
MS04-38: Kumulatives Sicherheits-Update für Internet Explorer
Gleich acht schwere Sicherheitslücken behebt das kumulative Update für den Internet Explorer.
1. Die erste Lücke beruht auf einem Pufferüberlauf in der Verarbeitung von Cascading Style Sheets. Dazu muss der Angreifer lediglich eine speziell präparierte Webseite erstellen und den Benutzer auf diese Seite locken. Durch Ausnutzen der Lücke kann er kompletten Systemzugriff und Programme mit den Rechten des angegriffenen Benutzers erhalten. Ein Angriff per HTML-E-Mail ist ebenfalls möglich.
2. Ein Fehler im Sicherheitszonenmodell ermöglicht es Angreifern, Scripts im Kontext der lokalen Zone laufen zu lassen. Auch hierfür muss der Angreifer eine spezielle Webseite erstellen und den Benutzer dorthin locken oder eine HTML-E-Mail an das Opfer schicken.
3. Die für die Installation von aktiven Komponenten zuständige Routine Inseng.dll weist einen ungeprüften Puffer auf, über den ein Angreifer beliebigen Code auf dem System ausführen kann. Voraussetzung dafür ist, dass die Ausführung von ActiveX -Komponenten erlaubt ist. Angriffsweg ist wiederum eine Webseite oder eine HTML-E-Mail.
4. Bei der Verarbeitung von Drag&Drop-Events tritt ein Fehler auf, der es Angreifern ermöglicht, beliebige Dateien auf dem System des Opfers abzuspeichern, unter anderem auch im Autostart-Ordner, so dass ein Programm beim nächsten Systemstart automatisch ausgeführt wird.
5. Auf Systemen mit Double Byte Character Set lässt sich die in der Adressleiste angezeigte URL so fälschen, dass sie nicht die tatsächlich besuchte Website anzeigt.
6. Wenn ein installiertes Plug-in den IE zu einer anderen Seite navigiert, ist es möglich, dass in der Adressleiste eine falsche URL angezeigt wird (URL-Spoofing).
7. Ein Fehler bei der Verarbeitung von Script-Befehlen in Image-Tags (IMG) ermöglicht es einem Angreifer, beliebige Dateien ohne Benutzerinteraktion auf der Festplatte abzulegen, unter anderem auch im Autostart-Ordner.
8. Bei der Validierung des Cache-Inhalts von SSL-geschützten Sites existiert ein Fehler, über den ein Angreifer beliebigen Script-Code im Kontext der SSL-Site ausführen lassen kann.
Falls Sie dieses kumulative Update bislang noch nicht eingespielt haben, sollten Sie das sofort nachholen. Eine entsprechende Update-Matrix finden Sie im Security-Bulletin.
Datum | 12.10.2004 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Alle Versionen des IE |
Auswirkung | Ausführung beliebigen Codes, Preisgabe von Informationen |
Work-around | Siehe Security-Bulletin |
Updates | Siehe Security-Bulletin |
CVE | CAN-2004-0842, CAN-2004-0727, CAN-2004-0216, CAN-2004-0839, CAN-2004-0844, CAN-2004-0843, CAN-2004-0841, CAN-2004-0845 |