VulDB: Microsoft Internet Explorer bis 6.0 HTML Drag-and-Drop Race Condition
Allgemein
scipID: 2048
Betroffen: Microsoft Internet Explorer bis 6.0
Veröffentlicht: 14.02.2006 (Matthew Murphy)
Risiko: 
problematisch
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Matthew Murphy weist in seinem Posting auf der Mailingliste Full-Disclosure darauf hin, dass die Versionen bis 6.0 gegen eine Race Condition verwundbar sind. Eine komplexe Timing-Attacke sei in Bezug auf das Drag-and-Drop verhalten möglich. Erweiterte Rechte seien deshalb bei der Interaktion mit einer korrupten Webseite denkbar. Als Workaround wird empfohlen, Active Scripting für nicht-vertrauenswürdige Seiten zu deaktivieren.
Da diese Schwachstelle eine Interaktion von Seiten des Benutzers benötigt, ist das Risiko nicht wirklich als hoch einzuschätzen. Aufmerksamkeit und restriktive Scripting-Einstellungen sollten genügen, um gegen diese Verwundbarkeit vorzugehen.
Exploiting
Klasse: Race-Condition
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Die betroffene Funktion deaktivieren.
Link: http://windowsupdate.microsoft.com
Snort: –
Pattern: –
Quellen
Advisory: http://archives.neohapsis.com/archives/fulldisclosure/2006-02/0271.html
CVE: CVE-2005-3240
OSVDB: 2707
Securityfocus: 16352
Secunia: 18787
X-Force: 24648
Securitytracker: 1015049
VUPEN: ADV-2006-0553
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Andere: http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
