Daten aus Internet Explorer-Cookies könnten offen gelegt oder geändert werden

Titel des Originartikels: Q312461: Internet Explorer Cookie Data Can Be Exposed or Altered

Die Informationen in diesem Artikel beziehen sich auf:

• Microsoft Internet Explorer-Version 6 für Windows 2000
• Microsoft Internet Explorer-Version 6 für Windows 98
• Microsoft Internet Explorer-Version 6 für Windows 98 Second Edition
• Microsoft Internet Explorer-Version 6 für Windows NT 4.0
• Microsoft Internet Explorer-Version 6 für Windows XP
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 95
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 98
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 98 Second Edition
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows NT 4.0
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows 2000
• Microsoft Internet Explorer-Version 5.5, Service Pack 2 für Windows Millennium Edition
• Microsoft Internet Explorer-Version 6 für Windows Millennium Edition

In den Internet Explorer-Versionen 5.5 und 6 gibt es einen potenziellen Sicherheitsmangel, der es einem böswilligen Benutzer ermöglichen könnte, einen URL zu erstellen, durch den eine Website den nicht autorisierten Zugriff auf Cookies erlangt, die auf Ihrem Computer gespeichert sind, und dann die darin gespeicherten Werte ändern könnte. Da manche Websites Cookies verwenden, die auf Ihrem Computer gespeichert sind und sensible Daten enthalten, könnten so auch persönliche Informationen offen gelegt werden.

Damit dieser Sicherheitsmangel auf böswillige Art und Weise ausgenutzt werden könnte, müsste ein Benutzer auf eine URL-Verknüpfung auf einer Seite klicken, die ein Angreifer auf seiner Website eingerichtet hat, oder er müsste auf eine URL-Verknüpfung klicken, die in eine vom Angreifer versendete HTML-E-Mail-Nachricht eingebettet ist. Damit dieser Sicherheitsmangel zum Tragen kommt, muss der Benutzer also selbst aktiv tätig werden.

Abschwächende Faktoren:

• Ein Benutzer muss zunächst dazu gebracht werden, die in böswilliger Absicht eingerichtete Website zu besuchen oder eine HTML-E-Mail-Nachricht mit böswillig manipuliertem URL zu öffnen. Dann müsste der Benutzer außerdem noch auf eine speziell manipulierte URL-Verknüpfung klicken.
• Für Benutzer, die das Microsoft Outlook-Update für die E-Mail-Sicherheit angewendet haben, besteht kein Risiko der Ausnutzung dieses Sicherheitsmangels durch eine HTML-E-Mail-Nachricht.
• Für Benutzer, die Outlook Express auf die Verwendung der Zone für eingeschränkte Sites konfiguriert haben, besteht ebenfalls kein Risiko der Ausnutzung dieses Sicherheitsmangels durch eine HTML-E-Mail-Nachricht. Beachten Sie bitte, dass dies die standardmäßige Einstellung für Microsoft Outlook Express 6 ist.

Internet Explorer 6:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich, das jedoch ausschließlich dafür konzipiert wurde, das in diesem Artikel beschriebene Problem zu beheben und nur auf Systeme angewendet werden sollte, bei denen ein echtes Risiko besteht, das Objekt der hier beschriebenen Angriffe zu werden. Um das individuelle Risiko für Ihren Computer zu ermitteln, prüfen Sie bitte dessen physische Zugänglichkeit, Netzwerk- und Internet-Konnektivität sowie weitere Faktoren. Lesen Sie hierzu bitte auch das entsprechende Microsoft-Sicherheitsbulletin (http://www.microsoft.com/technet/security/bulletin/MS01-055.asp). Um die Produktqualität auch weiterhin zu gewährleisten, wird dieses Update zu einem späteren Zeitpunkt möglicherweise weiteren Tests unterzogen. Falls Sie das Risiko für Ihren Computer als erheblich einstufen, sollten Sie dieses Update sofort anwenden.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten. Eine vollständige Liste mit Telefonnummern des Microsoft Produktsupports und Informationen zu Servicegebühren finden Sie unter der folgenden Adresse im World Wide Web:Anmerkung: In speziellen Fällen können die normalerweise für Anrufe erhobenen Servicegebühren erlassen werden, falls ein Mitarbeiter des Microsoft Software Service feststellt, dass Ihr Problem durch ein bestimmtes Update behoben werden kann. Normale Servicegebühren werden jedoch für weitere Fragen und Problemlösungen erhoben, die mit dem fraglichen Update nicht in direktem Zusammenhang stehen.

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:Internet Explorer 5.5:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich, das jedoch ausschließlich dafür konzipiert wurde, das in diesem Artikel beschriebene Problem zu beheben und nur auf Systeme angewendet werden sollte, bei denen ein echtes Risiko besteht, das Objekt der hier beschriebenen Angriffe zu werden. Um das individuelle Risiko für Ihren Computer zu ermitteln, prüfen Sie bitte dessen physische Zugänglichkeit, Netzwerk- und Internet-Konnektivität sowie weitere Faktoren. Lesen Sie hierzu bitte auch das entsprechende Microsoft-Sicherheitsbulletin (http://www.microsoft.com/technet/security/bulletin/MS01-055.asp). Um die Produktqualität auch weiterhin zu gewährleisten, wird dieses Update zu einem späteren Zeitpunkt möglicherweise weiteren Tests unterzogen. Falls Sie das Risiko für Ihren Computer als erheblich einstufen, sollten Sie dieses Update sofort anwenden.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten. Eine vollständige Liste mit Telefonnummern des Microsoft Produktsupports und Informationen zu Servicegebühren finden Sie unter der folgenden Adresse im World Wide Web:Anmerkung: In speziellen Fällen können die normalerweise für Anrufe erhobenen Servicegebühren erlassen werden, falls ein Mitarbeiter des Microsoft Software Service feststellt, dass Ihr Problem durch ein bestimmtes Update behoben werden kann. Normale Servicegebühren werden jedoch für weitere Fragen und Problemlösungen erhoben, die mit dem fraglichen Update nicht in direktem Zusammenhang stehen.

Folgende Datei steht Ihnen im Microsoft Download Center zum Download zur Verfügung:Anmerkung: Um einen Neustart des Computers während der Installation zu verhindern, fügen Sie der Datei "q313675.exe" bitte die Befehlszeilenoption "/r.n." (ohne die Anführungszeichen) hinzu, wenn Sie den Patch installieren.

Um das beschriebene Problem zu umgehen, können Sie Active Scripting in den Internet- und Intranetzonen in Internet Explorer deaktivieren. Um zu verhindern, dass der beschriebene Sicherheitsmangel ausgenutzt wird, wenn Sie die HTML-Rendering-Funktion von Outlook Express verwenden, sollten Sie Outlook Express darauf konfigurieren, die Zone für eingeschränkte Sites zu verwenden.

Deaktivieren von Active Scripting in Internet Explorer:

1. Starten Sie Internet Explorer.
2. Klicken Sie im Menü EXTRAS auf INTERNETOPTIONEN.
3. In der Registerkarte SICHERHEIT klicken Sie bitte auf STUFE ANPASSEN.
4. Im Feld "Einstellungen" klicken Sie unter "Active scripting" und "Scripting von Java-Applets" bitte auf DEAKTIVIEREN.
5. Klicken Sie auf OK und dann erneut auf OK.

Aktivieren der Funktion "Eingeschränkte Sites" in Outlook Express:

1. Starten Sie Outlook Express.
2. Klicken Sie im Menü EXTRAS auf OPTIONEN.
3. Klicken Sie auf die Registerkarte SICHERHEIT, klicken Sie auf ZONE FÜR EINGESCHRÄNKTE SITES, und klicken Sie dann auf OK.

Anmerkung: Deaktivierte Sites oder Sites, deren Funktionalität durch das Deaktivieren von Active Scripting geändert wurde, können aktiviert werden, indem man die betreffende Site in die Zone "Vertrauenswürdige Sites" einfügt. Alle Sites, die so eingegeben werden, übernehmen die Sicherheitseinstellungen, die für eine vertrauenswürdige Zone gelten.

Gehen Sie hierzu folgendermaßen vor:

1. Starten Sie Internet Explorer.
2. Klicken Sie im Menü EXTRAS auf INTERNETOPTIONEN, und klicken Sie dann auf die Registerkarte SICHERHEIT.
3. Klicken Sie auf VERTRAUENSWÜRDIGE SITES und dann auf SITES.
4. Geben Sie den Namen einer Webseite ein, die in die Liste der vertrauenswürdigen Sites aufgenommen werden soll, und klicken Sie dann auf HINZUFÜGEN. Wiederholen Sie diesen Prozess für alle Webseiten, die dieser Liste hinzugefügt werden sollen.
5. Wenn Sie der Liste alle gewünschten Webseiten hinzugefügt haben, klicken Sie bitte auf OK und dann erneut auf OK.

Internet Explorer 6:
Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Beeinträchtigung der Sicherheit in Internet Explorer 6 führen kann.

Internet Explorer 5.5:
Microsoft hat bestätigt, dass dieses Problem zu einer gewissen Beeinträchtigung der Sicherheit in Internet Explorer 5.5 führen kann.

Weitere Informationen zu dem in diesem Artikel beschriebenen Sicherheitsmangel finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zum Herunterladen von Dateien vom Microsoft Download Center finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Weitere Suchbegriffe: security_patch 12cpa34 update hack cookies url traversal

Microsoft hat die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war, um diese Datei auf Viren zu prüfen. Nach der Bereitstellung befindet sich die Datei auf sicheren Servern, wodurch nicht autorisierte Änderungen an den Dateien verhindert werden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.