Windows Me Bugreport
Neu: WebDAV-Anfragen immer im User-Kontext
Mit WebDAV, einer Erweiterung von HTTP, lassen sich Webinhalte von einem entfernten Standort aus erstellen und verwalten. Die Komponente in Microsoft-Produkten, die den Zugriff auf WebDAV-Ressourcen ermöglicht, heißt Internet Publishing Provider (IPP). Der IPP sollte Anfragen des Anwenders von Anfragen durch ein Skript, das im Browser abläuft, unterscheiden können.
Genau diese Unterscheidung findet durch einen Implementierungsfehler aber nicht statt: Der IPP behandelt alle Anfragen im Sicherheitskontext des Users. Von dessen Berechtigungen hängt es also ab, welchen Schaden ein Angreifer über diese Lücke verursachen kann. Denkbar wäre beispielsweise ein Zugriff aufs Intranet oder auf webbasierte E-Mail.
Datum | 18.04.2001 |
---|---|
| |
Betrifft | Windows 9x, Me, NT, 2000 |
Wirkung | Zugriff auf User-Daten |
Patch | |
Abhilfe | Patch installieren |
Informationen |