| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Microsoft Internet Explorer bis 6 SP1 entdeckt. Hierbei betrifft es unbekannten Programmcode der Komponente VBA File Handler. Durch Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2004-2090 gelistet. Der Angriff lässt sich über das Netzwerk starten. Ferner existiert ein Exploit. Es wird empfohlen, die betroffene Komponente mit einer alternativen Komponente zu ersetzen.
Details
Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Jelmer hat eine Möglichkeit entdeckt, wie ein Angreifer die Existenz von Dateien auf einem Zielsystem determinieren kann. Das Auslesen dieser sensitiven Information ist deshalb möglich, weil VBS verschiedene Fehlermeldungen zurückliefert, jenachdem ob eine Datei existiert oder nicht. Diese Auswertungsmöglichkeit kann genutzt werden, um mehr Informationen über ein Ziel zu erlangen und weitere Angriffe vorzubereiten. Als Workaround wird empfohlen Active Scripting für nicht vertrauenswürdige Webseiten zu deaktivieren. Alternativ kann auf einen anderen Webbrowser (z.B. Opera oder Mozilla) ausgewichen werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15078), Exploit-DB (23668), SecurityFocus (BID 9611†), OSVDB (3879†) und Secunia (SA10820†) dokumentiert. Weitere Informationen werden unter microsoft.com bereitgestellt. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Diese Schwachstelle ist zwar interessant und sicher auch in bestimmten Situationen für einen Angreifer nützlich. Trotzdem ist die direkte Gefahr durch dieses Informationsleck sehr gering. Bei Skript-Kiddies wird diese Möglichkeit eben wegen diese Gründen nicht sehr beliebt werden.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 3.9
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Patch: windowsupdate.microsoft.com
Timeline
07.02.2004 🔍07.02.2004 🔍
07.02.2004 🔍
09.02.2004 🔍
10.02.2004 🔍
19.05.2005 🔍
16.09.2025 🔍
Quellen
Hersteller: microsoft.comAdvisory: secunia.com⛔
Person: jelmer
Status: Bestätigt
CVE: CVE-2004-2090 (🔍)
GCVE (CVE): GCVE-0-2004-2090
GCVE (VulDB): GCVE-100-507
X-Force: 15078 - Microsoft Internet Explorer vb script reports different errors to obtain information, Medium Risk
SecurityFocus: 9611 - Microsoft Internet Explorer LoadPicture File Enumeration Weakness
Secunia: 10820 - Internet Explorer File Identification Variant, Not Critical
OSVDB: 3879 - Microsoft IE File Identification Variant
SecuriTeam: securiteam.com
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 10.02.2004 09:59Aktualisierung: 16.09.2025 14:33
Anpassungen: 10.02.2004 09:59 (71), 07.04.2017 12:00 (3), 16.09.2025 14:33 (24)
Komplett: 🔍
Cache ID: 216:E82:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.