Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en systemadministratör inom Linux-klientinfrastruktur och it-säkerhet till CERT-SE, en central roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 15 augusti.

Uppdaterad | Publicerad - Sårbarhet

SR03-042 Sårbarheter i Internet Explorer

Publicerad: 031125
Senast uppdaterad: 040203

Problembeskrivning:
Liu Die Yu har presenterat ett antal sätt att utnyttja sårbarheter i Internet Explorer. Dessa är nya och äldre sårbarheter som i varierande grad kombinerats.

CVE-referens: -
2. MhtRedirParsesLocalFile - En ny sårbarhet gör det möjligt att kringgå säkerhetskontrollen i zonen "Internet" och därmed möjliggörs åtkomst till lokala filer.

CVE-referens: -
3. MhtRedirLaunchInetExe - En ny sårbarhet går det möjligt att exekvera kod på datorn, under förutsättning att script kan exekveras i zonen "Lokalt".

CVE-referens: -
4. BackToFramedJpu - En ny "cross-site scripting" sårbarhet gör det möjligt att exekvera kod på datorn, under förutsättning att associerad hemsida är i zonen "Tillförlitliga".

CVE-referens: -
5. HijackClickV2 - En äldre sårbarhet som det finns en säkerhetsuppdatering för kan kringgås, vilket gör det möjligt att ta över en användares markör för att utföra vissa funktioner.

CVE-referens: -
6. InvalidContentType - En sårbarhet gör det möjligt att få tillgång till IE tillfälligt lagrade filer (cache) i samband med nedladdningsfunktionen. Denna sårbarhet påverkar ej alla versioner och kan vara korrigerad i den senaste säkerhetsuppdateringen för IE.

CVE-referens: -
7. LocalZoneInCache - Den ovan beskrivna sårbarheten i kombination med ytterligare äldre sårbarheter kan utnyttjas för att exekvera kod på datorn.

CVE-referens: -
8. execdror6 - En annorlunda kombination av sårbarheterna ovan (LocalZoneInCache) kan även den utnyttjas för att exekvera kod på datorn.

Påverkade versioner:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6

Uppdatering:
http://www.microsoft.com/technet/security/bulletin/MS04-004.asp

Motverkan:
Stäng av "Active scripting" och "ActiveX-kontroller" i IE.

Mer information:
http://www.safecenter.net/UMBRELLAWEBV4/1stCleanRc/1stCleanRc-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/MhtRedirParsesLocalFile/MhtRedirParsesLocalFile-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/MhtRedirLaunchInetExe/MhtRedirLaunchInetExe-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/BackToFramedJpu/BackToFramedJpu-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/HijackClickV2/HijackClickV2-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/threadid10008/threadid10008-Note.htm
http://www.safecenter.net/UMBRELLAWEBV4/LocalZoneInCache/LocalZoneInCache-Content.htm
http://www.safecenter.net/UMBRELLAWEBV4/execdror6/execdror6-Content.htm
http://msdn.microsoft.com/library/default.asp?url=/workshop/security/szone/overview/overview.asp

Versionshistorik:
031125: Särskilt råd skapat.
031127: Uppdaterat motverkan och mer information.
040203: Uppdaterat Uppdatering med MS04-004.