Mehr Infos im unteren Abschnitt
Two vulnerabilities have been reported in Internet Explorer, which in combination with other known issues can be exploited by malicious people to compromise a user's system.
1) A variant of the "Location:" local resource access vulnerability can be exploited via a specially crafted URL in the "Location:" HTTP header to open local files.
Example:
"Location: URL:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htm"
2) A cross-zone scripting error can be exploited to execute files in the "Local Machine" security zone.
Secunia has confirmed the vulnerabilities in a fully patched system with Internet Explorer 6.0. It has been reported that the preliminary SP2 prevents exploitation by denying access.
Successful exploitation requires that a user can be tricked into following a link or view a malicious HTML document.
NOTE: The vulnerabilities are actively being exploited in the wild to install adware on users' systems.
Solution:
Disable Active Scripting support for all but trusted web sites.
Filter "Location:" headers containing the "URL:" prefix in a proxy server.
Use another browser.
Provided and/or discovered by:
Originally discovered in the wild.
Detailed analysis of exploit by Jelmer.
Changelog:
2004-06-08: Updated information in advisory.
2004-06-10: Updated information in advisory and added link to US-CERT vulnerability note.
Other References:
Jelmer's posting on Full-Disclosure:
http://archives.neohapsis.com/ar...fulldisclosure/2004-06/0104.htmlUS-CERT VU#713878:
http://www.kb.cert.org/vuls/id/713878Wie ein niederländischer Student herausgefunden hat, machen zwei neue Sicherheitslücken Microsofts Internetexplorer zu einem unsicheren Vehikel, um in den Weiten des Netzes zu surfen. Die Sicherheitsprobleme sind dabei offenbar so kritisch, dass Microsoft schon das FBI eingeschaltet hat. Auch der Sicherheitsdienst Secunia bewertet die Lücke als "extremely critical".
"Wir betrachten jedes Ausnutzen einer Sicherheitslücke zum Ausführen von Programmen als kriminellen Akt", betont Microsoft-Sicherheitschef Stephen Toulouse gegenüber dem Newsdienst Cnet. Microsoft möchte nun eng mit den Ermittlungsbehörden zusammenarbeiten und so schnell wie möglich einen Patch zu Lösung des Problems entwickeln, wegen dem hohen Risiko sogar vor dem monatlichen Patch-Day.
Durch die Sicherheitslücken reicht bereits der einfache Besuch einer manipulierten Webseite aus, um mit ungewünschter Software infiziert zu werden. Ist diese Software erst einmal installiert, öffnet sie die Startseite des Browsers, baut automatisch Verbindungen zu Werbeseiten auf und öffnet regelmäßig Pop-Up-Fenster.
Die heimtückische Werbe-Software scheint offenbar von der Suchmaschine I-Lookup zu kommen, die ausschließlich kommerzielle Suchergebnisse von Werbepartnern als Ergebnisse anbietet. Allerdings dürfte der Betreiber der Seite nicht selbst für den Missbrauch verantwortlich sein, meint Jelmer Kuperus, Entdecker der Sicherheitslücken. Jedoch ist sich der Student sicher: "Wer auch immer das Programm geschrieben hat, bekommt Geld für jede Installation".
Autor
