VulDB: Microsoft Internet Explorer bis 6.0 HTML Help ActiveX Control hhctrl.ocx Image Pufferüberlauf
Allgemein
scipID: 2356
Betroffen: Microsoft Internet Explorer bis 6.0
Veröffentlicht: 04.07.2006 (HD Moore)
Risiko: 
kritisch
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Der Sicherheitsexperte HD Morre, er hat das Exploiting-Framework MetaSploit entwickelt, fand eine schwerwiegende Schwachstellen in den gegenwärtigen Versionen des Explorers. Durch die mit der Datei hhctrl.ocx bereitgestellte HTML Help ActiveX Control kann beliebiger Programmcode ausgeführt werden. Dies wird durch einen Pufferüberlauf ermöglicht. Ein proof-of-concept Exploit zur Umsetzung einer Denial of Service-Attacke ist in der Original-Blog-Mitteilung enthalten. Bisher sind keine produktiven Exploits bekannt. Als Workaround wird empfohlen, AxtiveX nur für vertrauenswürdige Webseiten einzuschalten oder bis auf weiteres einen alternativen Webbrowser zu nutzen.
Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. Da ein Beispiel-Exploit für einen Denial of Service-Angriff im Posting enthalten war, ist es nur eine Frage der Zeit, bis dieser Angriff erfolgreich im World Wide Web angetroffen werden kann. Vor allem Skript-Kiddies und Anbieter von Dialern werden diese Methode für ihre Zwecke nutzen wollen. Es ist kein Geheimnis, dass ActiveX nicht unbedingt den besten Ruf in Bezug auf die Sicherheit geniesst. So sollte man bei Nichtgebrauch auf die Interpretation dessen verzichten.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://metasploit.com/users/hdm/tools/browserfun/mobb_002.html
Milw0rm: –
Nessus: 22188 (Name: MS06-046: Vulnerability in HTML Help Could Allow Remote Code Execution (922616), Risk: High)
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Die betroffene Funktion deaktivieren.
Link: http://windowsupdate.microsoft.com
Snort: 7004 (WEB-ACTIVEX Internet.HHCtrl.1 ActiveX function call access)
Pattern: Internet.HHCtrl.1
Quellen
Advisory: http://browserfun.blogspot.com/2006/07/mobb-2-internethhctrl-image-property.html
CVE: CVE-2006-3357
OSVDB: 26835
Securityfocus: 18769
Secunia: 20906
X-Force: 27573
Securitytracker: 1016434
VUPEN: ADV-2006-2635
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Juli 2006
Andere: http://www.blogger.com/comment.g?blogID=30557436&postID=115185728440977411
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
