IE: Unfreundliche „freundliche” Fehlermeldungen
Martin Leyrer
Ist das Feature „Kurze HTTP-Fehlermeldungen” (in der englischen Version werden diese als „freundliche Fehlermeldungen” bezeichnet) im Internet Explorer aktiviert, so analysiert der Browser den Statuscode, der vom Server geliefert wird und zeigt dann anstelle der Fehlerseite des Web-Servers eine lokale HTML-Seite mit Informationen zum Fehler an.
Eine der Funktionen, die in diesen kurzen HTML-Fehlermeldungen benutzt werden, ist eine Methode, um die URL, die den Fehler erzeugt hat, zu analysieren und deren Domain-Namen auszulesen, damit er in die Fehlermeldung eingebaut werden kann.
Obwohl Microsoft in dem lokalen Script versucht hat, derartige Exploits zu verhindern, kann ein Angreifer Script-Code in die URL integrieren, die dann durch die „freundliche” Fehlermeldung im Sicherheitskontext der lokalen Zone ausgeführt wird.
Betroffen sind von der Sicherheitslücke die Browser-Versionen Microsoft Internet Explorer 5.01, 5.5 und 6.0, sowie alle Applikationen, welche das WebBrowser Control (also die Engine des IE) benutzen.
Relativ einfach schützen kann man sich vor der Attacke, wenn man den Internet Explorer auf „unfreundlich” umstellt und im IE im Menü Extras -> Internetoptionen -> Erweitert das Häkchen bei dem Punkt „Kurze HTTP-Fehlermeldungen anzeigen” entfernt. Dann sollte der Internet Explorer wieder, wie gewohnt, die detaillierten Fehlermeldungen der Server anzeigen.
GreyMagic Security Advisory
Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=5139
Tagged as: Eigene_Stories_+_News, WCM_Online-News | Author: Martin Leyrer
[Freitag, 20030620, 10:10 | permanent link | 0 Kommentar(e)
Comments are closed for this story.