Microsoft Internet Explorer CSS-Dateien automatischer Download Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
In Microsoft Internet Explorer 6 wurde eine kritische Schwachstelle gefunden. Dies betrifft einen unbekannten Teil der Komponente CSS File Handler. Die Veränderung resultiert in Pufferüberlauf. Diese Verwundbarkeit ist als CVE-2004-0420 gelistet. Der Angriff kann über das Netzwerk erfolgen. Ferner existiert ein Exploit. Es wird empfohlen, die betroffene Komponente zu deaktivieren.
Details
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Rafel Ivgi, der sich selber The-Insider nennt, hat in einem sehr umfangreichen Posting auf Bugtraq eine Möglichkeit bekannt gegeben, wie mittels eines Fehlers im Webbrowser automatisch Dateien heruntergeladen werden können. CSS (Cascade Style Sheets) sind eine Erweiterung zum statischen HTML (Hypertext Markup Language) und erlauben das Festlegen von Stilen. Sehr einfach kann so für eine Webseite ein einheitliches Erscheinungsbild, dass sich mittels der simplen Anpassung der CSS-Datei verändern lässt, umgesetzt werden. CSS-Dateien werden von Webbrowsern wie jedes andere eingebettete Element eines HTML-Dokuments betrachtet und somit automatisch heruntergeladen und interpretiert. Der Fehler im Microsoft Internet Explorer besteht darin, dass er automatisch jegliche Datei herunterlädt, wenn sich von dieser im gleichen Verzeichnis eine mit gleichem Namen und CSS-Erweiterung befindet. Befindet sich zum Beispiel unter http://www.scip.ch die Datei /style.css und die Datei /style.exe, dann wird beim Aufruf von http://www.scip.ch sowohl die CSS- als auch die EXE-Datei heruntergeladen. Angreifer könnten diesen Umstand brauchen, um ihre Opfer zu verwirren, Hintertüren, Trojanische Pferde oder Dialer zu installieren. Aus dem Posting geht nicht hervor, ob Microsoft frühzeitig über diese und die anderen dokumentierten Schwachstellen informiert wurde. Rafel Ivgi stellt in seinem Posting jedoch noch ein Skript vor, mit dem ein Pufferüberlauf in rundll32.exe erzwungen werden kann. Somit wäre gar das Ausführen beliebigen Programmcodes möglich. Als Workaround wird empfohlen beim Folgen von Links zwielichtiger Herkunft Vorsicht walten zu lassen und wenn möglich Active Scripting zu deaktivieren. Letztere Vorsichtsmassnahme verhindert die Attacke bzw. schränkt einen Angriff ein. Ursprünglich war damit zu rechnen, dass Microsoft die Probleme bei den nächsten Patch Days beheben wird. Dem war jedoch nicht so und die Patches wurden erst am 13. Juli 2004, also erst 5 Monate nach dem Bekanntwerden der Schwachstelle, herausgegeben [http://www.microsoft.com/technet/security/bulletin/MS04-024.mspx]. Sie können von der Microsoft Webseite und über das AutoUpdate bezogen werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (14964), Tenable (13642), SecurityFocus (BID 9510†), OSVDB (7802†) und Secunia (SA10736†) dokumentiert. Zusätzliche Informationen finden sich unter heise.de. Die Einträge VDB-486 sind sehr ähnlich. Be aware that VulDB is the high quality source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 13.07.2004 ein Plugin mit der ID 13642 (MS04-024: Buffer overrun in Windows Shell (839645)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90137 (Microsoft Windows Shell Remote Code Execution (MS04-024)) zur Prüfung der Schwachstelle an.
Dieser Angriff ist wahrhaftig sehr interessant, vor allem für Leute, die ihren Opfern irgendwelche Software unterjubeln wollen. Vor allem Anbieter von Angeboten, die die Installation eines Dialers erfordern, werden diese neue Möglichkeit für ihre Zwecke zu nutzen wissen. Aber auch Skript-Kiddies, die mittels Remote-Control-Programmen wie dem klassischen NetBus ihren Spass haben wollen, werden den Fehler gerne mal ausprobieren wollen. Es blieb zu hoffen, dass Microsoft schnellstmöglich den Fehler durch einen Patch beheben wird. Die Reaktionszeit war jedoch ausserordentlich mies, was Microsoft im Incident Handling nicht unbedingt positive Punkte einbringen wird.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 13642
Nessus Name: MS04-024: Buffer overrun in Windows Shell (839645)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Patch: windowsupdate.microsoft.com
Snort ID: 2589
Snort Message: WEB-CLIENT Content-Disposition CLSID command attempt
Snort Klasse: 🔍
Snort Pattern: 🔍
Suricata ID: 2102589
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Timeline
20.01.2004 🔍21.01.2004 🔍
27.01.2004 🔍
27.01.2004 🔍
19.04.2004 🔍
07.07.2004 🔍
07.07.2004 🔍
13.07.2004 🔍
13.07.2004 🔍
14.07.2004 🔍
12.07.2025 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS04-024⛔
Person: Rafel Ivgi (The Insider)
Firma: malware.com
Status: Bestätigt
CVE: CVE-2004-0420 (🔍)
GCVE (CVE): GCVE-0-2004-0420
GCVE (VulDB): GCVE-100-487
OVAL: 🔍
CERT: 🔍
X-Force: 14964 - Microsoft Internet Explorer file extension spoofing, High Risk
SecurityFocus: 9510 - Microsoft Windows Shell CLSID File Extension Misrepresentation Vulnerability
Secunia: 10736 - Internet Explorer File Download Extension Spoofing, Moderately Critical
OSVDB: 7802 - Microsoft IE File Download Extension Spoofing
Vulnerability Center: 4723 - [MS04-024] Microsoft Windows Shell API CLSID File Extension Spoofing Enables Code Execution, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 21.01.2004 10:45Aktualisierung: 12.07.2025 22:58
Anpassungen: 21.01.2004 10:45 (66), 18.06.2017 20:20 (43), 09.03.2021 10:26 (3), 09.03.2021 10:28 (1), 02.01.2025 17:22 (21), 12.07.2025 22:58 (3)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.