Internet Explorer - Kumulatives Sicherheitsupdate (832894) Sicherheitsupdate.
Jetzt downloaden

Internet Explorer - Kumulatives Sicherheitsupdate (832894) Ranking & Zusammenfassung

Internet Explorer - Kumulatives Sicherheitsupdate (832894) Stichworte

Sicherheitsupdate

Internet Explorer - Kumulatives Sicherheitsupdate (832894) Beschreibung

Von Microsoft: Wer sollte dieses Dokument lesen: Kunden, die Microsoft Internet Explorer verwenden Auswirkungen der Anfälligkeit: Remote-Code-Ausführung Maximales Schweregrad: kritisch Empfehlung: Systemadministratoren sollten das Sicherheitsupdate sofort anwenden. Dies ist ein kumulatives Update, das die Funktionalität aller zuvor veröffentlichten Updates für Internet Explorer 5.01, Internet Explorer 5.5 und Internet Explorer 6.0 enthält. Darüber hinaus beseitigt es die folgenden drei neu entdeckten Schwachstellen: eine Sicherheitsanfälligkeit, die das Sicherheitsmodell des Quer-Domain-Sicherheitsmodells von Internet Explorer beinhaltet. Das Cross Domain-Sicherheitsmodell von Internet Explorer hält Windows von verschiedenen Domänen, um Informationen zu teilen. Diese Sicherheitsanfälligkeit kann zur Durchführung von Skript in der lokalen Maschinenzone führen. Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer eine bösartige Website hosten, die eine Webseite enthielt, die die Sicherheitsanfälligkeit ausnutzt und dann einen Benutzer zum Anzeigen der Webseite überzeugen kann. Der Angreifer könnte auch eine HTML-E-Mail-Nachricht erstellen, die die Sicherheitsanfälligkeit ausnutzt und den Benutzer überreden, um die HTML-E-Mail-Nachricht anzuzeigen. Nachdem der Benutzer die bösartige Website besucht hat oder die schädliche HTML-E-Mail-Nachricht angesehen hat, könnte ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, auf Informationen von anderen Websites zugreifen, auf Dateien auf das System des Benutzers zugreifen und den beliebigen Code auf dem System des Benutzers ausführen. Dieser Code würde im Sicherheitskontext des aktuell angemeldeten Benutzers ausgeführt werden. Eine Anfälligkeit, in der ein Drag & Drop-Betrieb mit Funktionszeiger während dynamischen HTML-Ereignissen in Internet Explorer verwendet wird. Diese Anfälligkeit könnte eine Datei ermöglichen, in einem Zielort auf dem System des Benutzers gespeichert zu werden, wenn der Benutzer auf einen Link angeklickt hat. Kein Dialogfeld würde anfordern, dass der Benutzer diesen Download genehmigt. Um diese Sicherheitsanfälligkeit zu nutzen, müsste ein Angreifer eine bösartige Website hosten, die eine Webseite enthielt, die einen speziell gefertigten Link hatte. Der Angreifer müsste dann einen Benutzer überzeugen, auf diesen Link zu klicken. Der Angreifer könnte auch eine HTML-E-Mail-Nachricht erstellen, die einen speziell gefertigten Link hatte, und den Benutzer dann überzeugen, die HTML-E-Mail-Nachricht anzuzeigen, und klicken Sie dann auf den böswilligen Link. Wenn der Benutzer auf diesen Link geklickt hat, wird der Code der Auswahl des Angreifers nicht ausgeführt, kann jedoch in einem gezielten Standort auf dem Computer des Benutzers gespeichert werden. Eine Anfälligkeit, die das falsche Analysieren von URLs beinhaltet, die Sonderzeichen enthalten. In Kombination mit einem Missbrauch der Basisauthentifizierungsfunktion, in der "Benutzername: Password @" am Anfang einer URL verfügt, kann diese Sicherheitsanfälligkeit zu einer falschen Darstellung der URL in der Adressleiste eines Internet-Explorer-Fensters führen. Um diese Sicherheitsanfälligkeit zu nutzen, müsste ein Angreifer eine bösartige Website hosten, die eine Webseite enthielt, die einen speziell gefertigten Link hatte. Der Angreifer müsste dann einen Benutzer überzeugen, auf diesen Link zu klicken. Der Angreifer könnte auch eine HTML-E-Mail-Nachricht erstellen, die einen speziell gefertigten Link hatte, und den Benutzer dann überzeugen, die HTML-E-Mail-Nachricht anzuzeigen, und klicken Sie dann auf den böswilligen Link. Wenn der Benutzer auf diesen Link geklickt hat, könnte ein Internet Explorer-Fenster mit einer URL der Wahl des Angreifers in der Adressleiste geöffnet werden, jedoch mit Inhalten von einer Website der Angreiferauswahl innerhalb des Fensters. Beispielsweise könnte ein Angreifer einen Link erstellen, der einmal von einem Benutzer geklickt, http://www.tailspintoys.com in der Adressleiste anzunehmen, aber tatsächlich Inhalte von einer anderen Website enthalten, z. B. http: //www.wingtiptoys .com. (Hinweis: Diese Websites werden nur als Beispiel bereitgestellt, und beide umleiten bis http://www.microsoft.com.)

Internet Explorer - Kumulatives Sicherheitsupdate (832894) Zugehörige Software