Veröffentlicht am: 20.06.2003 10:10:16
GreyMagic hat eine Sicherheitslücke im Internet Explorer gefunden, die es erlaubt, beliebige Scripte im Internet Explorer auszuführen. Der Exploit nutzt dafür einen Fehler in den „freundlichen“ bzw. kurzen HTTP-Fehlermeldungen.
Ist das Feature "Kurze HTTP-Fehlermeldungen" (in der englischen Version werden diese als „freundliche Fehlermeldungen“ bezeichnet) im Internet Explorer aktiviert, so analysiert der Browser den Statuscode, der vom Server geliefert wird und zeigt dann anstelle der Fehlerseite des Web-Servers eine lokale HTML-Seite mit Informationen zum Fehler an.
Eine der Funktionen, die in diesen kurzen HTML-Fehlermeldungen benutzt werden, ist eine Methode, um die URL, die den Fehler erzeugt hat, zu analysieren und deren Domain-Namen auszulesen, damit er in die Fehlermeldung eingebaut werden kann.
Obwohl Microsoft in dem lokalen Script versucht hat, derartige Exploits zu verhindern, kann ein Angreifer Script-Code in die URL integrieren, die dann durch die „freundliche“ Fehlermeldung im Sicherheitskontext der lokalen Zone ausgeführt wird.
Betroffen sind von der Sicherheitslücke die Browser-Versionen Microsoft Internet Explorer 5.01, 5.5 und 6.0, sowie alle Applikationen, welche das WebBrowser Control (also die Engine des IE) benutzen.
Relativ einfach schützen kann man sich vor der Attacke, wenn man den Internet Explorer auf „unfreundlich“ umstellt und im IE im Menü Extras -> Internetoptionen -> Erweitert das Häkchen bei dem Punkt „Kurze HTTP-Fehlermeldungen anzeigen“ entfernt. Dann sollte der Internet Explorer wieder, wie gewohnt, die detaillierten Fehlermeldungen der Server anzeigen.
GreyMagic Security Advisory
Martin Leyrer