| Internet Explorer - Cumulatieve beveiligingsupdate (832894) Beveiligingsupdate. |
Download nu |
Internet Explorer - Cumulatieve beveiligingsupdate (832894) Rangschikking & Samenvatting
- Uitgever website:
- http://www.microsoft.com/
- Besturingssystemen:
- Windows 95, Windows NT, Windows XP, Windows 2000, Windows 98
Internet Explorer - Cumulatieve beveiligingsupdate (832894) Tags
Internet Explorer - Cumulatieve beveiligingsupdate (832894) Beschrijving
Van Microsoft: Wie moet dit document lezen: klanten die Microsoft Internet Explorer gebruiken Impact van kwetsbaarheid: externe code uitvoering Maximale ernstige beoordeling: kritisch Aanbeveling: Systemenbeheerders moeten de beveiligingsupdate onmiddellijk toepassen. Dit is een cumulatieve update die de functionaliteit van alle eerder uitgevoerde updates voor Internet Explorer 5.01, Internet Explorer 5.5 en Internet Explorer 6.0 bevat. Bovendien elimineert het de volgende drie nieuw ontdekte kwetsbaarheden: een kwetsbaarheid die het cross-domein beveiligingsmodel van Internet Explorer betreft. Het Cross Domain Security-model van Internet Explorer houdt Windows van verschillende domeinen van het delen van informatie. Dit beveiligingslek kan resulteren in de uitvoering van het script in de lokale machinezone. Om deze kwetsbaarheid te benutten, zou een aanvaller een kwaadaardige website moeten hosten die een webpagina bevatte die is ontworpen om het beveiligingslek te exploiteren en vervolgens een gebruiker te overtuigen om de webpagina te bekijken. De aanvaller kan ook een HTML-e-mailbericht maken dat is ontworpen om de kwetsbaarheid te exploiteren en de gebruiker te overtuigen om het HTML-e-mailbericht te bekijken. Nadat de gebruiker de kwaadwillende website heeft bezocht of het kwaadwillende HTML-e-mailbericht bekeken, kan een aanvaller die deze kwetsbaarheid exploiteert toegang heeft tot informatie van andere websites, toegang tot bestanden op het systeem van een gebruiker en een willekeurige code uitvoeren op het systeem van een gebruiker. Deze code wordt uitgevoerd in de beveiligingscontext van de momenteel ingelogde gebruiker. Een kwetsbaarheid die inhoudt met het uitvoeren van een drag-and-drop-bediening met functiewijzers tijdens dynamische HTML (DHTML) -evenementen in Internet Explorer. Dit beveiligingslek kan een bestand mogelijk maken dat moet worden opgeslagen in een doellocatie op het systeem van de gebruiker als de gebruiker op een link klikte. Er zou geen dialoogvenster vragen dat de gebruiker deze download goedkeurt. Om dit beveiligingslek te benutten, zou een aanvaller een kwaadaardige website moeten hosten die een webpagina bevatte die een speciaal vervaardigde link had. De aanvaller zou dan een gebruiker moeten overtuigen om op die link te klikken. De aanvaller kan ook een HTML-e-mailbericht maken dat een speciaal-gecactiveerde link had en vervolgens de gebruiker overhalen om het HTML-e-mailbericht te bekijken en vervolgens op de schadelijke link te klikken. Als de gebruiker op deze link klikte, zou de code van de keuze van de aanvaller niet worden uitgevoerd, maar zou kunnen worden opgeslagen op de computer van de gebruiker op een gerichte locatie. Een kwetsbaarheid die het onjuiste parseren van URL's omvat dat speciale tekens bevat. In combinatie met een misbruik van de basisverificatiefunctie die "Gebruikersnaam: Wachtwoord @" aan het begin van een URL heeft, kan dit beveiligingslek resulteren in een verkeerde voorstelling van de URL in de adresbalk van een Internet Explorer-venster. Om dit beveiligingslek te benutten, zou een aanvaller een kwaadaardige website moeten hosten die een webpagina bevatte die een speciaal vervaardigde link had. De aanvaller zou dan een gebruiker moeten overtuigen om op die link te klikken. De aanvaller kan ook een HTML-e-mailbericht maken dat een speciaal-gecactiveerde link had en vervolgens de gebruiker overhalen om het HTML-e-mailbericht te bekijken en vervolgens op de schadelijke link te klikken. Als de gebruiker op deze link klikte, kan een Internet Explorer-venster openen met een URL van de keuze van de aanvaller in de adresbalk, maar met inhoud van een website van de keuze van de aanvaller in het venster. Een aanvaller zou bijvoorbeeld een link kunnen maken waarmee eenmaal door een gebruiker is geklikt, zou http://www.taartspintoys.com in de adresbalk worden weergegeven, maar eigenlijk inhoud van een andere website bevat, zoals http: //www.wingtiptoys .com. (Opmerking: deze websites worden alleen als voorbeeld aangeboden en zowel omleiden naar http://www.microsoft.com.)
Internet Explorer - Cumulatieve beveiligingsupdate (832894) Gerelateerde software