| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
In Microsoft Internet Explorer 6 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion in der Bibliothek mshtml.dll. Dank der Manipulation mit der Eingabe href=::%7b mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Der Angriff kann über das Netzwerk passieren. Zusätzlich gibt es einen verfügbaren Exploit.
Es wird geraten, die betroffene Komponente durch eine alternative Komponente auszutauschen.
Details
Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Rafel Ivgi publizierte auf Full-Disclosure eine Möglichkeit, wie der beliebte Browser zum Absturz gebracht werden kann. Versucht der Anwender mit der "Save As"-Funktion einen Link, bestehend aus zwei Dppelpunkten und einem offenen geschweiften Klammer abzuspeichern (::%7b), entsteht eine Speicherschutzverletzung in mshtml.dll. Es ist damit zu rechnen, dass Microsoft nicht frühzeitig und explizit über die Schwachstelle informiert wurde, das Problem jedoch in einem der kommenden Patchdays zu adressieren versucht. Als Workaround wird empfohlen, keine Links mehr abzuspeichern oder einen anderen Browser einzusetzen. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 10552†), OSVDB (7121†) und Secunia (SA11868†) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Unter heise.de werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-23322 sind ähnlich. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Der Internet Explorer geniesst nach wie vor eine sehr hohe Verbreitung, wobei vor allem Skript-kiddies ein Interesse an dieser Sicherheitslücke haben werden. Je länger je mehr wird es plausibel, auf den Einsatz des Internet Explorers zu verzichten und sich nach alternativen Webbrowser-Lösungen umzuschauen. Eine im mindesten aus Sicherheitssicht legitime Entscheidung.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.7VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.7
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Patch: windowsupdate.microsoft.com
Timeline
22.03.2001 🔍14.06.2004 🔍
15.06.2004 🔍
15.06.2004 🔍
16.06.2004 🔍
09.03.2021 🔍
Quellen
Hersteller: microsoft.comAdvisory: lists.netsys.com
Person: Rafel Ivgi (The Insider)
Status: Nicht definiert
GCVE (VulDB): GCVE-100-713
SecurityFocus: 10552 - Microsoft Internet Explorer HREF Save As Denial of Service Vulnerability
Secunia: 11868 - Internet Explorer File Download Error Message Denial of Service Weakness, Not Critical
OSVDB: 7121 - MS IE File Download Error Message DoS
Heise: 48248
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 15.06.2004 14:46Aktualisierung: 09.03.2021 14:41
Anpassungen: 15.06.2004 14:46 (61), 07.04.2017 12:00 (7), 09.03.2021 14:41 (3)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.