VulDB: Microsoft Internet Explorer bis 6.0 Drag and Drop Temporary Internet Files erweiterte Leserechte
Allgemein
scipID: 2735
Betroffen: Microsoft Internet Explorer bis 6.0
Veröffentlicht: 12.12.2006 (Yorick Koster)
Risiko: 
kritisch
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 2006 wurden vier kritische Schwachstellen in den Versionen bis 6.0 behoben. So hat Yorick Koster herausgefunden, so wird es in MS06-072 (KB925454) dokumentiert, dass dank einem Fehler in Drag and Drop erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 2006 zum Download zur Verfügung.
Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx
Snort: –
Pattern: –
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx
CVE: CVE-2006-5577
OSVDB: 30816
Securityfocus: 21507
Secunia: 23288
X-Force: –
Securitytracker: 1017374
VUPEN: ADV-2006-4966
Securiteam: –
Tecchannel: –
Heise: 82436
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
