VulDB: Microsoft Internet Explorer bis 6 Plugin-In Navigation Designfehler
Allgemein
scipID: 895
Betroffen: Microsoft Internet Explorer 5.01 bis 6
Veröffentlicht: 12.10.2004
Risiko: 
problematisch
Eintrag: 90% komplett
Erstellt: 14.10.2004
Aktualisiert: 03.09.2012
Beschreibung
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Microsoft beschreibt im Microsoft Security Bulletin MS04-038 den kumulativen Patch für den hauseigenen Internet Explorer (834707). So wurde im Rahmen des allmonatlichen Patchdays von Microsoft bekannt gegeben, dass eine Design-Schwachstelle im fortwährend immer stärker kritisierten Microsoft Internet Explorer 5.01 bis 6 besteht. Ein Angreifer kann durch einen Fehler in der Verarbeitung von Plug-In Navigationen die Information in der Adresszeile fälschen (engl. spoofing). Ein solches Vorgehen kann mitunter für die zur Zeit stark in Mode gekommenen Phishing-Attacken genutzt werden. Genaue technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Die Schwachstelle kann mitunter mit dem Microsoft Baseline Security Analyzer (MBSA) verifiziert und halb-automatisch behoben werden. Microsoft hat Patches für die betroffenen Internet Explorer-Versionen herausgegeben, die sich ebenfalls über das AutoUpdate installieren lassen. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (10756), Secunia (SA12806), SecurityFocus (BID 11367) und X-Force (17714) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu.
Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 21 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:microsoft:internet_explorer:6
Exploiting
Klasse: Designfehler
Auswirkungen: erweiterte Rechte erlangen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Patch
0-Day Time: 0 Tage seit gefunden
Patch: windowsupdate.microsoft.com
Timeline
12.10.2004 | Advisory veröffentlicht
14.10.2004 | VulDB Eintrag erstellt
15.10.2004 | OSVDB Eintrag erstellt
20.10.2004 | CVE zugewiesen
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS04-038
Person: http://www.microsoft.com
Firma: Microsoft
OSVDB: 10756
CVE: CVE-2004-0978 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 12806
SecurityFocus: 11367
SecuriTeam: securiteam.com
X-Force: 17714
Heise: 52083
