Artikel ID: 322921 - Laatste beoordeling: maandag 4 april 2005 - Wijziging: 3.7

MS02-023: Patch beschikbaar voor beveiligingsprobleem met cross-site scripting in lokale HTML-bron

Bekijk de producten waarop dit artikel van toepassing is.

Op deze pagina

Alles uitklappen | Alles samenvouwen

Symptomen

Er is sprake van een beveiligingsprobleem met cross-site scripting in Internet Explorer dat tot verhoogde machtigingen leidt. Een aanvaller die dit beveiligingslek weet te misbruiken, kan HTML-scripts uitvoeren alsof ze lokaal op de computer van de gebruiker worden uitgevoerd. Hierdoor kunnen de scripts worden uitgevoerd buiten de beveiligingsbeperkingen die normaal gesproken van kracht zijn. De scripts kunnen derhalve elke actie op de lokale computer uitvoeren die de gebruiker kan uitvoeren. Het script kan gegevens toevoegen, wijzigen of verwijderen of beveiligingsinstellingen wijzigen die de gebruiker kan wijzigen.

Een aanvaller kan dit beveiligingslek misbruiken door een schadelijke webpagina te maken met een gemanipuleerde URL-koppeling. De aanvaller kan de pagina op een website plaatsen of deze als HTML-e-mailbericht verzenden. Het beveiligingslek wordt benut wanneer de gebruiker de schadelijke webpagina bekijkt of het e-mailbericht opent of weergeeft in een voorbeeldvenster.

Beperkingen die gelden voor de acties die de gebruiker op de lokale computer kan uitvoeren, zijn ook van toepassing op de acties van het script van de aanvaller. Als een gebruiker bijvoorbeeld niet over de machtiging beschikt om gegevens te verwijderen of beveiligingsinstellingen te wijzigen in Internet Explorer, kan het script deze acties ook niet uitvoeren. Klanten die e-mail lezen in de zone Websites met beperkte toegang, zijn niet gevoelig voor pogingen dit beveiligingslek te misbruiken door middel van HTML-e-mailberichten. Microsoft Outlook Express 6, Microsoft Outlook 98, Microsoft Outlook 2000 met de beveiligingsupdate voor e-mail van Outlook (http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE) en Microsoft Outlook 2002 gebruiken standaard de zone Websites met beperkte toegang voor het lezen van e-mailberichten. Klanten die Outlook 2002 Service Pack 1 (SP1) gebruiken en de functie Lezen als onbewerkte tekst hebben ingeschakeld, zijn ook ongevoelig voor de aanval via HTML-e-mail. Dat komt omdat deze functie alle HTML-elementen in e-mail uitschakelt, inclusief scripts. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over deze functie:
307594  (http://support.microsoft.com/kb/307594/NL-NL/ ) Outlook 2002: Gebruikers kunnen onbeveiligde e-mail lezen als onbewerkte tekst
Naar boven

Oorzaak

Dit beveiligingsprobleem doet zich voor omdat een lokaal bronbestand dat deel uitmaakt van Internet Explorer, een HTML-webpagina bevat waarop invoer niet correct wordt gevalideerd.
Naar boven

Oplossing

Naar boven

Internet Explorer 6

U lost dit probleem op door het meest recente service pack voor Internet Explorer 6 op te halen. In het volgende Microsoft Knowledge Base-artikel vindt u meer informatie:
328548  (http://support.microsoft.com/kb/328548/NL-NL/ ) Het meest recente Service Pack voor Internet Explorer 6 ophalen
De update voor dit probleem is opgenomen in de cumulatieve patch voor Internet Explorer van 15.05.02. Voor meer informatie over het verkrijgen van deze patch klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
321232  (http://support.microsoft.com/kb/321232/NL-NL/ ) MS02-023: Cumulatieve patch voor Internet Explorer (mei 2002)
Naar boven

Internet Explorer 5.5 Service Pack 2

De update voor dit probleem is opgenomen in de cumulatieve patch voor Internet Explorer van 15.05.02. Voor meer informatie over het verkrijgen van deze patch klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
321232  (http://support.microsoft.com/kb/321232/NL-NL/ ) MS02-023: Cumulatieve patch voor Internet Explorer (mei 2002)
Naar boven

Internet Explorer 5.5 Service Pack 1

De update voor dit probleem is opgenomen in de cumulatieve patch voor Internet Explorer van 15.05.02. Voor meer informatie over het verkrijgen van deze patch klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
321232  (http://support.microsoft.com/kb/321232/NL-NL/ ) MS02-023: Cumulatieve patch voor Internet Explorer (mei 2002)
Naar boven

Internet Explorer 5.01 Service Pack 2 (alleen met Microsoft Windows 2000 en Microsoft Windows NT 4.0)

Deze update is alleen bestemd voor klanten die werken met Internet Explorer 5.01 Service Pack 2 (http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;267954) op Windows 2000 Service Pack 2 (http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;260910) of Windows NT 4.0 Service Pack 6a (http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;152734) . Als u werkt met Internet Explorer 5.01 op een andere versie van Windows, voert u een upgrade uit naar Internet Explorer 5.5 Service Pack 2 (http://support.microsoft.com/default.aspx?scid=kb;%5Bln%5D;276369) of hoger (http://www.microsoft.com/windows/ie_intl/nl/) en past u deze update toe.

De update voor dit probleem is opgenomen in de cumulatieve patch voor Internet Explorer van 15.05.02. Voor meer informatie over het verkrijgen van deze patch klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
321232  (http://support.microsoft.com/kb/321232/NL-NL/ ) MS02-023: Cumulatieve patch voor Internet Explorer (mei 2002)

Naar boven

Status

Internet Explorer 6

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft Internet Explorer 6 kan verminderen. In Service Pack 1 voor Internet Explorer versie 6 is voor het eerst een correctie aangebracht voor dit probleem.
Naar boven

Internet Explorer 5.5

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft Internet Explorer 5.5 kan verminderen.
Naar boven

Internet Explorer 5.01

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft Internet Explorer 5.01 kan verminderen.
Naar boven

Meer informatie

Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp (http://www.microsoft.com/technet/security/bulletin/MS02-023.asp)
Naar boven
De informatie in dit artikel is van toepassing op:
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Naar boven
Trefwoorden: 
kbbug kbfix kbie501presp3fix kbsecvulnerability kbie600presp1fix kbsecurity kbie600sp1fix kbie550presp3fix kbsecbulletin kbsechack KB322921
Naar boven
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Vertaalde artikelen