Ergebnis 1 bis 1 von 1

Thema: Schwachstelle in IE 7 & IE 8 beta1 ermoeglicht Cross-Zone-Scripting

  1. #1
    QuotenFrau
    Registriert seit
    30.03.2006
    Beiträge
    728

    Ausrufezeichen Schwachstelle in IE 7 & IE 8 beta1 ermoeglicht Cross-Zone-Scripting

    Zur Info
    mit freundlicher Genehmigung des BSI


    ################################################## ####################

    CERT-Bund -- Warn- und Informationsdienst

    ################################################## ####################

    KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

    ID: CB-K08/0282
    Titel: 'Microsoft Internet Explorer' ermoeglicht
    Cross-Zone-Scripting
    Datum: 15.05.2008
    Software: Microsoft Internet Explorer
    Version: 7.0; 8.0 Beta 1
    Plattform: Windows
    Auswirkung: Cross-Site-Scripting
    Remoteangriff: Ja
    Risiko: mittel
    Bezug: <http://www.securityfocus.com/bid/29217/>

    ################################################## ####################

    Der 'Microsoft Internet Explorer' ist anfaellig fuer einen Angriff auf das Zonen-Modell. In den Druckoptionen des 'Microsoft Internet Explorers' existiert eine Funktion zur Erstellung einer Tabelle aller Webseiten-Links, die dem Druckbild einer Webseite angehaengt wird.
    Einem entfernten Angreifer ist es ueber diese Funktion moeglich, schaedlichen Script-Code im Kontext der lokalen Zone des 'Microsoft Internet Explorers' auszufuehren.

    Ein Exploit zur Ausnutzung der Schwachstelle wurde bereits veroeffentlicht. Bis der Hersteller Patches zur Behebung der Schwachstelle bereitstellt, wird empfohlen die Funktion zur Erstellung der Link-Tabelle nicht zu verwenden. Weitere Informationen entnehmen Sie bitte folgenden Quellen:

    [1] <http://www.securityfocus.com/bid/29217/>
    [2] <http://secunia.com/advisories/30141/>


    Mit freundlichen Gruessen
    das Team CERT-Bund

    ================================================== ===============
    BSI - Bundesamt fuer Sicherheit in der Informationstechnik
    Referat 121 -- CERT-Bund

    Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
    <mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de> ================================================== ===============

    ================================================== =====================
    Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>

    Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund <http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.

    HINWEIS:

    Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird ausgeschlossen.
    Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
    Eine kommerzielle Nutzung ist ausdruecklich untersagt.
    ================================================== =====================
    Geändert von purple_rose (15.05.2008 um 14:13 Uhr) Grund: Beitragssymbol hinzugefügt

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •