VulDB: Microsoft Internet Explorer 7 URL %A0 Adresse vortäuschen
Allgemein
scipID: 2630
Betroffen: Microsoft Internet Explorer 7
Veröffentlicht: 25.10.2006 (Secunia)
Risiko: 
problematisch
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Eine anonyme Person hat über Secunia eine Schwachstelle in der kommenden Version 7 publizieren lassen. Durch das Anhängen des Sonderzeichens %A0 an einer URL kann die genutzte URL-Adresse verändert bzw. vorgetäuscht werden. Dies ist nützlich für die technische Stützung eines Social Engineering-Angriffs. Ein Beispiel-Exploit wurde durch Secunia veröffentlicht. Als Workaround wird empfohlen auf einen anderen Webbrowser auszuweichen und lediglich Links vertrauenswürdiger Herkunft zu folgen.
Machte man früher Witze über Sendmail, weil praktisch jede Woche eine neue Sicherheitslücke bekannt wurde, mauserte sich der Internet Explorer langsam zum "buggiest program on planet earth". Mit der neuen Version 7 sollte sich dies ändern. Denn diese soll angeblich auch mit dem Fokus auf die Sicherheit entwickelt worden sein. Die letzten Tage wurden jedoch einige neue und altbekannte Fehler bekannt, die an der Versprechung von Microsoft zweifeln lassen. Ob es sich dabei um die letzten Kinderkrankheiten oder eine neue Serie schwerwiegender Fehler handelt, wird erst die Zukunft zeigen können.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Ein alternatives Produkt einsetzen.
Link: http://windowsupdate.microsoft.com
Snort: –
Pattern: –
Quellen
Advisory: http://secunia.com/advisories/22542/
CVE: CVE-2006-5544
OSVDB: 30022
Securityfocus: 20728
Secunia: 22542
X-Force: 29827
Securitytracker: 1017122
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
