Patch Day Februar 2005: Rundumschlag
MS05-014: Kumulatives Update für den Internet Explorer
Vier teilweise kritische Lücken behebt dieses kumulative Update für den Internet Explorer. Die erste ist identisch mit der Drag&Drop-Lücke aus MS05-008. Ein Fehler bei der Dekodierung von kodierten URLs führt dazu, dass ein Angreifer beliebigen Code auf dem System ausführen und möglicherweise auch Cross-Site Scripting und Spoofing der in der Adressleiste angezeigten URL betreiben kann.
Ein nicht ausreichend geprüfter Puffer bei der Validierung von DHTML-Methoden lässt sich über eine speziell präparierte HTML-Seite ausnutzen, um beliebigen Code auf dem System des Opfers auszuführen.
Die letzte Lücke betrifft das Channel Definition Format (CDF). Ein Fehler beim Validieren bestimmter URLs in CDF-Dateien führt dazu, dass die Zonenzuordnung nicht korrekt erfolgt. Somit kann ein Angreifer Scripts mit den Rechten einer anderen Zone ausführen.
Datum | 08.02.2005 |
---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows Server 2003, Windows XP bis SP2, Windows XP 64-Bit |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |