IE: Unfreundliche „freundliche” Fehlermeldungen


 


 


Ist das Feature „Kurze HTTP-Fehlermeldungen” (in der englischen Version werden diese als „freundliche Fehlermeldungen” bezeichnet) im Internet Explorer aktiviert, so analysiert der Browser den Statuscode, der vom Server geliefert wird und zeigt dann anstelle der Fehlerseite des Web-Servers eine lokale HTML-Seite mit Informationen zum Fehler an.



Eine der Funktionen, die in diesen kurzen HTML-Fehlermeldungen benutzt werden, ist eine Methode, um die URL, die den Fehler erzeugt hat, zu analysieren und deren Domain-Namen auszulesen, damit er in die Fehlermeldung eingebaut werden kann.



Obwohl Microsoft in dem lokalen Script versucht hat, derartige Exploits zu verhindern, kann ein Angreifer Script-Code in die URL integrieren, die dann durch die „freundliche” Fehlermeldung im Sicherheitskontext der lokalen Zone ausgeführt wird.



Betroffen sind von der Sicherheitslücke die Browser-Versionen Microsoft Internet Explorer 5.01, 5.5 und 6.0, sowie alle Applikationen, welche das WebBrowser Control (also die Engine des IE) benutzen.




Relativ einfach schützen kann man sich vor der Attacke, wenn man den Internet Explorer auf „unfreundlich” umstellt und im IE im Menü Extras -> Internetoptionen -> Erweitert das Häkchen bei dem Punkt „Kurze HTTP-Fehlermeldungen anzeigen” entfernt. Dann sollte der Internet Explorer wieder, wie gewohnt, die detaillierten Fehlermeldungen der Server anzeigen.



GreyMagic Security Advisory

Martin Leyrer


Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=5139

Tagged as: , | Author:
[Freitag, 20030620, 11:10 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, lotus, Lotus, lotus notes, Lotus Notes, LotusNotes, lotusnotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, Vim, vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist