PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Schwachstelle in IE 7 & IE 8 beta1 ermoeglicht Cross-Zone-Scripting



purple_rose
15.05.2008, 13:03
Zur Info
mit freundlicher Genehmigung des BSI


################################################## ####################

CERT-Bund -- Warn- und Informationsdienst

################################################## ####################

KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K08/0282
Titel: 'Microsoft Internet Explorer' ermoeglicht
Cross-Zone-Scripting
Datum: 15.05.2008
Software: Microsoft Internet Explorer
Version: 7.0; 8.0 Beta 1
Plattform: Windows
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: mittel
Bezug: <http://www.securityfocus.com/bid/29217/ (http://www.securityfocus.com/bid/29217/)>

################################################## ####################

Der 'Microsoft Internet Explorer' ist anfaellig fuer einen Angriff auf das Zonen-Modell. In den Druckoptionen des 'Microsoft Internet Explorers' existiert eine Funktion zur Erstellung einer Tabelle aller Webseiten-Links, die dem Druckbild einer Webseite angehaengt wird.
Einem entfernten Angreifer ist es ueber diese Funktion moeglich, schaedlichen Script-Code im Kontext der lokalen Zone des 'Microsoft Internet Explorers' auszufuehren.

Ein Exploit zur Ausnutzung der Schwachstelle wurde bereits veroeffentlicht. Bis der Hersteller Patches zur Behebung der Schwachstelle bereitstellt, wird empfohlen die Funktion zur Erstellung der Link-Tabelle nicht zu verwenden. Weitere Informationen entnehmen Sie bitte folgenden Quellen:

[1] <http://www.securityfocus.com/bid/29217/ (http://www.securityfocus.com/bid/29217/)>
[2] <http://secunia.com/advisories/30141/ (http://secunia.com/advisories/30141/)>


Mit freundlichen Gruessen
das Team CERT-Bund

================================================== ===============
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat 121 -- CERT-Bund

Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
<mailto:certbund@bsi.bund.de (certbund@bsi.bund.de)> / <http://www.bsi.bund.de (http://www.bsi.bund.de/)> ================================================== ===============

================================================== =====================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/ (http://www.bsi.de/certbund/infodienst/)>

Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/digsig/ (http://www.bsi.de/certbund/digsig/)> aufgefuehrt und erlaeutert.

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
================================================== =====================