MS01-058: Patch für Datei-Sicherheitslücke in Internet Explorer 5.5 und 6 verfügbar

Dieser Artikel beschreibt eine Datei-Sicherheitslücke in Internet Explorer und erklärt, wie sie einen Patch erhalten können, der diese Sicherheitslücke beseitigt. Bitte beachten Sie, dass diese Sicherheitslücke - sofern nicht anderweitig beschrieben - sowohl Version 5.5 als auch Version 6 von Internet Explorer betrifft.

Die erste Form dieser Sicherheitslücke tritt in Form eines Fehlers auf, wie die HTTP Header-Felder "Content-Disposition" und "Content-Type" in einem HTML-Stream (Hypertext Markup Language) verarbeitet werden. Diese Felder, der Hosting-URL (Uniform Resource Locator) und die gehosteten Dateidaten bestimmen, wie mit einer Datei bei einem Download in Internet Explorer umgegangen wird. Eine Sicherheitslücke besteht, da ein Angreifer die Informationen im HTML-Header so manipulieren könnte, dass Internet Explorer eine ausführbare Datei (*.exe) nicht als solche Datei interpretiert, sondern als einen Typ Datei, der ausgeführt werden kann, ohne dass der Benutzer zuvor zur Bestätigung aufgefordert werden muss. Dies könnte es dem Angreifer erlauben, eine Webseite oder E-Mail-Nachricht im HTML-Format zu erstellen, die beim Öffnen automatisch eine .exe-Datei auf dem Computer des Benutzers ausführt.

Eine zweite Sicherheitslücke ist eine Variante der Frame Domain-Verifizierungsanfälligkeit, die im Microsoft Security Bulletin MS01-015 beschrieben ist. Diese Sicherheitslücke könnte es einem böswilligen Betreiber einer Website erlauben, zwei Browserfenster zu öffnen, eine in der Domain der Website, und die andere in dem lokalen Dateisystem des Benutzers. Dann könnte und das zweite Fenster Informationen an das erstere Fenster zu übergeben. Dies würde es dem Betreiber der Webseite erlauben, jede Datei auf dem lokalen Computer des Benutzers, die in einem Browserfenster geöffnet werden kann, zu lesen; er wäre jedoch nicht in der Lage, diese Dateien zu manipulieren.

Die dritte Sicherheitslücke besteht in einem Fehler, der in Zusammenhang mit der Art und Weise steht, wie Dateinamen im Dialogfenster für den Dateidownload angezeigt werden. Wenn ein Dateidownload gestartet wird, stellt ein Dialogfenster den Namen der Datei bereit. In einigen Fällen wäre es einem Angreifer jedoch unter Umständen möglich, den Namen der Datei in diesem Dialogfenster "zu verdrehen". Dies könnte von einer Webseite oder in einer HTML-E-Mail-Nachricht aus aufgerufen werden, um Benutzer dazu zu verleiten, unsichere Dateitypen von einer vertrauenswürdigen Quelle zu akzeptieren.

Sicherheitslücke bei ausführbaren Dateien

Diese Sicherheitslücke kann nicht ausgenutzt werden, wenn Dateidownloads in der Sicherheitszone, aus der die Datei empfangen wird, deaktiviert sind. Bei den meisten Versuchen, diese Sicherheitslücke auszunutzen, würde die Datei von der Zone "Internet" oder "Intranet" empfangen. Deshalb können Sie sich vor dieser Sicherheitslücke schützen, wenn Sie Dateidownloads für diese Zonen deaktivieren. Dies ist jedoch nicht die Standardeinstellung von keiner der beiden Zonen. Dies trifft nur auf Internet Explorer 6.0 zu.

Variante Frame Domain-Verifizierung

Diese Anfälligkeit kann nur dazu verwendet werden, Dateien einzusehen. Sie kann nicht dazu verwendet werden, Dateien zu erstellen, zu löschen, zu ändern oder auszuführen. Diese Anfälligkeit würde es einem Angreifer erlauben, Dateien zu lesen, die in einem Browserfenster geöffnet werden können, wie z.B. Bilddateien, HTML-Dateien oder Textdateien. Andere Dateitypen wie Binärdateien, .exe-Dateien, Microsoft Word-Dokumente usw. können nicht gelesen werden. Der Angreifer müsste den genauen Dateinamen sowie den genauen Speicherort der Datei kennen, um die Datei erfolgreich auf dem lokalen Computer des Benutzers lesen zu können.

Sicherheitslücke "Dateinamensverschleierung"

Die Entscheidung, ob der Download einer Datei von einer Internetseite akzeptiert werden soll, sollte immer auf Basis der Vertrauenswürdigkeit der Quelle und nicht des Dateityps erfolgen. Dateidownloads sollten niemals von einer nicht vertrauenswürdigen Quelle erfolgen, unabhängig davon, wie harmlos der Dateityp auch erscheinen mag.

Zusätzlich zu den beschriebenen Sicherheitslücken beseitigt dieses Update alle bekannten Probleme, die Internet Explorer 5.5 Service Pack 2 (SP2) und Internet Explorer 6.0 betreffen.

Nach der Installation dieses Updates werden in bestimmten Fällen ASP-Cookies blockiert. Um weitere Informationen dazu zu erhalten, lesen Sie bitte die englische Version dieses Artikels (313675  (http://support.microsoft.com/kb/313675/EN-US/ ) ).

Internet Explorer 6.0

Um dieses Problem zu beheben, beziehen Sie das neueste Service Pack für Internet Explorer 6. Weitere Informationen dazu erhalten Sie in folgendem Artikel der Microsoft Knowledge Base: Das Update "Sicherheitsupdate vom 13. Dezember 2001" wurde durch folgendes Update ersetzt:

316059  (http://support.microsoft.com/kb/316059/DE/ ) MS02-005: Kumulativer Patch für Internet Explorer vom 11. Februar 2002

Das Update "Sicherheitsupdate vom 13. Dezember 2001" steht auf folgender Microsoft Website zum Download zur Verfügung:

Internet Explorer 5.5

Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich; dieses Update wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt und sollte nur auf Systeme angewendet werden, die von einem Angriff dieser Art betroffen sein könnten. Bitte überprüfen Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um herauszufinden, inwieweit Ihr Computer von diesem Problem bedroht ist. Das Microsoft Security Bulletin zu diesem Problem (http://www.microsoft.com/technet/security/bulletin/MS01-058.asp) kann Sie dabei unterstützen, das Risiko für Ihr System einzuschätzen. Dieses Update wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen, um eine optimale Produktqualität zu gewährleisten. Microsoft empfiehlt, dieses Update sofort anzuwenden, falls Ihr System von diesem Problem betroffen sein könnte. Andernfalls warten Sie bitte auf das nächste Service Pack für Internet Explorer 5.5, das dieses Update enthalten wird.

Wenn Sie das Problem sofort beheben wollen, laden Sie das Update wie im folgenden beschrieben herunter oder wenden Sie sich an den Microsoft Produktsupport, um das Update zu erhalten.

Die Telefonnummern des Technischen Supports lauten:Alternativ erhalten Sie auch eine vollständige Liste mit Telefonnummern des Microsoft Software Service unter der folgenden Adresse im World Wide Web: Das Update "Sicherheitsupdate vom 13. Dezember 2001" wurde durch folgendes Update ersetzt:

316059  (http://support.microsoft.com/kb/316059/DE/ ) MS02-005: Kumulativer Patch für Internet Explorer vom 11. Februar 2002

Das Update "Sicherheitsupdate vom 13. Dezember 2001" steht auf folgender Microsoft Webseite zum Download zur Verfügung:Hinweis: Sie müssen Internet Explorer 5.5 Service Pack 2 (SP2) installiert haben, um dieses Update anwenden zu können. Weitere Informationen dazu erhalten Sie in folgendem Artikel der Microsoft Knowledge Base:

Internet Explorer 6.0
Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in den Microsoft Internet Explorer 6 führen kann. Dieses Problem wurde erstmals in Internet Explorer 6 Service Pack 1 behoben.

Internet Explorer 5,5
Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in den Microsoft Internet Explorer 5.5 führen kann.

Weitere Informationen zu diesem Problem finden Sie auf folgender Website von Microsoft:Weitere Informationen über die verfügbaren Befehlszeilenoptionen zur Installation dieses Updates finden Sie in folgendem Artikel der Microsoft Knowledge Base:


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.