Patch Day Februar 2005: Rundumschlag
MS05-013: Codeausführung durch Fehler in DHTML-Editing
Das DHTML-Editing-ActiveX weist einen erheblichen Fehler auf, der es einem Angreifer ermöglicht, an sensitive Informationen zu gelangen oder beliebigen Code mit den Rechten des betroffenen Benutzers auf dem System auszuführen. Der Grund dafür ist ein Fehler bei der Validierung bestimmter Aktionen durch das Zonenmodell des Internet Explorers.
Für einen erfolgreichen Angriff muss der Hacker das Opfer auf eine speziell präparierte Website locken oder ihn dazu bringen, eine HTML-Mail anzuschauen. In der Folge kann der Angreifer auf Informationen anderer Webseiten zurückgreifen, lokale Dateien einsehen oder Scripts im Sicherheitskontext der Zone "Lokaler Arbeitsplatz" ausführen.
Datum | 08.02.2005 |
---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |