VDB-713 · BID 10552 · SA11868

Microsoft Internet Explorer 6 mshtml.dll href=::%7b Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.4$0-$5k0.00

Zusammenfassunginfo

In Microsoft Internet Explorer 6 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion in der Bibliothek mshtml.dll. Dank der Manipulation mit der Eingabe href=::%7b mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Zusätzlich gibt es einen verfügbaren Exploit. Es wird geraten, die betroffene Komponente durch eine alternative Komponente auszutauschen.

Detailsinfo

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Rafel Ivgi publizierte auf Full-Disclosure eine Möglichkeit, wie der beliebte Browser zum Absturz gebracht werden kann. Versucht der Anwender mit der "Save As"-Funktion einen Link, bestehend aus zwei Dppelpunkten und einem offenen geschweiften Klammer abzuspeichern (::%7b), entsteht eine Speicherschutzverletzung in mshtml.dll. Es ist damit zu rechnen, dass Microsoft nicht frühzeitig und explizit über die Schwachstelle informiert wurde, das Problem jedoch in einem der kommenden Patchdays zu adressieren versucht. Als Workaround wird empfohlen, keine Links mehr abzuspeichern oder einen anderen Browser einzusetzen. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 10552†), OSVDB (7121†) und Secunia (SA11868†) dokumentiert. Das Nachrichtenportal Heise veröffentlichte ebenfalls einen Artikel hierzu. Unter heise.de werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-23322 sind ähnlich. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Der Internet Explorer geniesst nach wie vor eine sehr hohe Verbreitung, wobei vor allem Skript-kiddies ein Interesse an dieser Sicherheitslücke haben werden. Je länger je mehr wird es plausibel, auf den Einsatz des Internet Explorers zu verzichten und sich nach alternativen Webbrowser-Lösungen umzuschauen. Eine im mindesten aus Sicherheitssicht legitime Entscheidung.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.7
VulDB Meta Temp Score: 5.4

VulDB Base Score: 5.7
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Alternative
Status: 🔍

0-Day Time: 🔍

Patch: windowsupdate.microsoft.com

Timelineinfo

22.03.2001 🔍
14.06.2004 +1180 Tage 🔍
15.06.2004 +0 Tage 🔍
15.06.2004 +0 Tage 🔍
16.06.2004 +1 Tage 🔍
09.03.2021 +6110 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: lists.netsys.com
Person: Rafel Ivgi (The Insider)
Status: Nicht definiert

GCVE (VulDB): GCVE-100-713
SecurityFocus: 10552 - Microsoft Internet Explorer HREF Save As Denial of Service Vulnerability
Secunia: 11868 - Internet Explorer File Download Error Message Denial of Service Weakness, Not Critical
OSVDB: 7121 - MS IE File Download Error Message DoS

Heise: 48248
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 15.06.2004 14:46
Aktualisierung: 09.03.2021 14:41
Anpassungen: 15.06.2004 14:46 (61), 07.04.2017 12:00 (7), 09.03.2021 14:41 (3)
Komplett: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!