Microsoft Internet Explorer 5.01 SP2 Cumulative Patch Beveiligingsupdate.
Download nu

Microsoft Internet Explorer 5.01 SP2 Cumulative Patch Rangschikking & Samenvatting

Microsoft Internet Explorer 5.01 SP2 Cumulative Patch Tags

beveiligingsupdate Security Essentials Update Update beveiligingsbenodigdheden

Microsoft Internet Explorer 5.01 SP2 Cumulative Patch Beschrijving

Van Microsoft: dit is een cumulatieve patch die de functionaliteit van alle eerder uitgevoerde patches voor IE 5.01, 5,5 en 6.0 omvat. Bovendien elimineert het de volgende zes nieuw ontdekte kwetsbaarheden: een beveiligingslek voor cross-site scripting in een lokale HTML-bron. Dwz schepen met verschillende bestanden die HTML bevatten op het lokale bestandssysteem om functionaliteit te bieden. Een van deze bestanden bevat een beveiligingslek voor cross-site scripting die een script kon laten uitvoeren alsof het door de gebruiker zichzelf is uitgevoerd, waardoor het in de lokale computerzone kan worden uitgevoerd. Een aanvaller kan een webpagina maken met een URL die deze kwetsbaarheid exploiteert en deze pagina vervolgens op een webserver host of deze als HTML-e-mail verzenden. Wanneer de webpagina werd bekeken en klikte de gebruiker op de URL-link, het script van de aanvaller in de lokale bron, het script van de aanvaller zou in de lokale computerzone draaien, waardoor het met minder beperkingen kan worden uitgevoerd dan het anders zou hebben. Een beveiligingslachteerbaarheid in het openbaarmaking met betrekking tot het gebruik van AM HTML-object biedt die ondersteuning voor cascadingstijlbladen die een aanvaller kunnen laten lezen, maar niet toevoegen, verwijderen of wijzigen, gegevens over het lokale systeem. Een aanvaller kan een webpagina maken die deze kwetsbaarheid exploiteert en deze pagina vervolgens op een webserver host of deze als HTML-e-mail wordt verzonden. Wanneer de pagina werd bekeken, zou het element worden aangeroepen. Het succesvol exploiteren van deze kwetsbaarheid vereist echter exacte kennis van de locatie van het beoogde bestand dat moet worden gelezen op het systeem van de gebruiker. Verder vereist het dat het beoogde bestand een enkel, parciculaire ASCII-karakter bevat. Een beveiligingslachteerbaarheid voor informatie die verband houdt met de behandeling van script in cookies die één site kunnen toestaan om de cookies van een ander te lezen. Een aanvaller kan een speciale cookie met script bouwen en vervolgens een webpagina met een hyperlink bouwen die die cookie aan het systeem van de gebruiker zou leveren en het roept. Hij kan die webpagina dan als e-mail sturen of op een server plaatsen. Wanneer de gebruiker op de hyperlink klikte en de pagina het script in de cookie heeft ingeschakeld, zou het mogelijk de cookies van een andere site kunnen lezen of wijzigen. Met succes exploiteert dit echter dat de aanvaller de exacte naam van de cookie kennen zoals opgeslagen op het bestandssysteem dat succesvol moet worden gelezen. Een kwetsbaarheid van de zone spoofing die een webpagina zou kunnen toestaan om onjuist te beschouwen als in de intranetzone of, in sommige zeer zeldzame gevallen, in de vertrouwde siteszone. Een aanvaller kan een webpagina construeren die deze kwetsbaarheid exploiteert en probeert de gebruiker te verleiden om de webpagina te bezoeken. Als de aanval succesvol was, wordt de pagina uitgevoerd met minder beveiligingsbeperkingen dan geschikt is. Twee varianten van de beveiligingslek "Inhoudsontwikkeling" besproken in Microsoft Security Bulletin MS01-058 die van invloed zijn op hoe ie ieheen downloads behandelt wanneer de content-dispositie- en content-type headers van een downloadbare bestand opzettelijk misvormd zijn. In een dergelijk geval is het mogelijk om IE te geloven dat een bestand een type veilig is voor automatische hantering, wanneer het in feite uitvoerbare inhoud is. Een aanvaller kan proberen deze kwetsbaarheid te benutten door een speciaal misvormde webpagina te construeren en een misvormd uitvoerbaar bestand te plaatsen. Hij kan dan de webpagina plaatsen of mailen naar het beoogde doelwit. Deze twee nieuwe varianten verschillen van de oorspronkelijke kwetsbaarheid, omdat zij voor een systeem kwetsbaar zijn, het moet een aanvraag aanwezig hebben die aanwezig is die, wanneer het de misvormde inhoud ten onrechte heeft gepasseerd, ervoor kiest om het onmiddellijk terug te geven aan het besturingssysteem een foutmelding. Daarom zou een succesvolle aanval vereisen dat de aanvaller weet dat het beoogde slachtoffer een van deze toepassingen op hun systeem aanwezig heeft. Ten slotte introduceert het een gedragsverandering in de beperkte siteszone. Specifiek schakelt het frames uit in de beperkte siteszone. Sinds de Outlook Express 6.0, Outlook 98 en Outlook 2000 met de Outlook Email Security Update en Outlook 2002 Alle lees e-mail in de beperkte siteszone standaard, deze verbetering betekent dat die producten nu standaard frames in HTML-e-mail uitschakelen. Dit nieuwe gedrag maakt het onmogelijk voor een HTML-e-mail om automatisch een nieuw venster te openen of om het downloaden van een uitvoerbaar bestand te starten.

Microsoft Internet Explorer 5.01 SP2 Cumulative Patch Gerelateerde software