|
 |
|
Internet Explorer HTTP-Request-Smuggling/Splitting Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA29453
|
|
|
Herausgegeben:
|
2008-03-24
|
|
Last Update:
|
2008-06-11
|
|
|
Gefahrenstufe:
|
Weniger kritisch
|
|
Auswirkung:
|
Sicherheitsumgehung
Cross-Site-Scripting
Enthüllung von sensiblen Informationen
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
|
| | CVE reference: | CVE-2008-1544 (Secunia mirror)
CVE-2008-1545 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Stefano Di Paola hat einige Sicherheitslücken in Internet Explorer gemeldet, die böswillige Personen ausnutzen können, um HTTP-Request-Smuggling/Splitting-Attacken durchzuführen.
Das Problem besteht, da es möglich ist, bestimmte Header über "setRequestHeader()" zu modifizieren. Dies kann ausgenutzt werden, um z.B. beliebige HTTP-Anfragen einzuschleusen, indem man den Header "Transfer-Encoding" auf "chunked" setzt, oder um bestimmte Header zu überschreiben (z.B. "Content-Length", "Host" und "Referer").
Die Sicherheitslücken wurden in Version 7.0.5730.11 gemeldet. Andere Versionen können ebenfalls betroffen sein.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Verwenden Sie die Patches.
Windows 2000 SP4 mit Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/de...=88990B23-D37F-4D02-A5A3-2EE389ADE53C
Windows 2000 SP4 mit Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/de...=4C47CF8A-8100-4D43-855A-F225A3492B19
Windows XP SP2 mit Internet Explorer 6:
http://www.microsoft.com/downloads/de...=CC325017-3A48-4475-90E4-0C79A002FCE3
Windows XP SP3 mit Internet Explorer 6:
http://www.microsoft.com/downloads/de...=CC325017-3A48-4475-90E4-0C79A002FCE3
Windows XP Professional x64 Edition (optional mit SP2) und Internet Explorer 6:
http://www.microsoft.com/downloads/de...=C8783CFE-9DA5-4842-AB3A-1E2BE4FAFC47
Windows Server 2003 SP1/SP2 und Internet Explorer 6:
http://www.microsoft.com/downloads/de...=286AADA6-A358-41F1-B81A-8DE39B9F908A
Windows Server 2003 x64 Edition (optional mit SP2) und Internet Explorer 6:
http://www.microsoft.com/downloads/de...=6604569A-3DB0-47E7-BD30-7DFBA8145386
Windows Server 2003 mit SP1/SP2 für Itanium-basierte Systeme und Internet Explorer 6:
http://www.microsoft.com/downloads/de...=0262BEB8-1EB5-4C2D-A50A-0C6C6E0C1F61
Windows XP SP2/SP3 und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=FBC31BDE-0BF5-490C-96A8-071310D9464A
Windows XP Professional x64 Edition (optional mit SP2) und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=19C0CCDC-95C9-4151-96B6-4F49B594EBE0
Windows Server 2003 SP1/SP2 und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=A1AE9AD2-8329-4C96-B950-7534B3287EAA
Windows Server 2003 x64 Edition (optional mit SP2) und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=FB0C70B4-CE9F-43D6-875A-3CFD0D3A2681
Windows Server 2003 mit SP1/SP2 für Itanium-basierte Systeme und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=28D2913C-1C6B-4671-9892-DE08698CD5A6
Windows Vista (optional mit SP1) und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=6D68B39D-157F-4C3D-AC76-BC5A9386DB59
Windows Vista x64 Edition (optional mit SP1) und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=4CF92235-861E-4B74-BEE3-8E977C8688D9
Windows Server 2008 für 32-bit Systeme und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=A8922E7E-9264-4E09-B8AD-C5420FED8690
Windows Server 2008 für x64-basierte Systeme und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=05B0E838-24D7-4387-B069-2604BBCC43B9
Windows Server 2008 für Itanium-basierte Systeme und Internet Explorer 7:
http://www.microsoft.com/downloads/de...=640E1865-EBCC-4D69-A770-FD360020DA1E
Gemeldet und/oder entdeckt von:
Stefano Di Paola
Änderungen:
2008-04-01: CVE-Referenz hinzugefügt.
2008-06-10: "Lösung" aktualisiert.
Original Advisory:
MS08-031 (KB950759):
http://www.microsoft.com/technet/security/Bulletin/MS08-031.mspx
Stefano Di Paola:
http://www.mindedsecurity.com/MSA01240108.html
http://www.mindedsecurity.com/MSA02240108.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
143 Related Secunia Security Advisories, displaying 10
|
|
|
1. Internet Explorer 6 Window "location" Sicherheitslücke
|
|
2. Internet Explorer 7 Frame-Verwaltung Sicherheitslücke
|
|
3. Internet Explorer "substringData()" Speicherkorruption Sicherheitslücke
|
|
4. Internet Explorer "DisableCachingOfSSLPages" Schwachstelle
|
|
5. Internet Explorer "Print Table of Links" Cross-Zone-Scripting
|
|
6. Internet Explorer FTP-Befehlsinjektion
|
|
7. Microsoft Internet Explorer Mehrere Sicherheitslücken
|
|
8. Internet Explorer mehrere Sicherheitslücken erlauben Codeausführung
|
|
9. Microsoft Web Proxy Auto-Discovery Sicherheitsproblem
|
|
10. Internet Explorer Data-Stream-Verarbeitung Sicherheitslücke
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
