SR04-004 MS04-004 - Microsoft släpper kumulativ uppdatering för Internet Explorer

Publicerad: 040203
Senast uppdaterad: 040216

Problembeskrivning:
CVE-referens: (CAN-2003-1026)
Robert Sandblad har upptäckt en sårbarhet i Internet Explorer (IE), som på grund av felaktig hantering av historiken över besökta webbplatser kan utnyttjas av en angripare. En angripare kan med hjälp av specialkonstruerad websida lägga till addresser i webb-historiken (Travel Log). Detta innebär att godtycklig kod kan exekveras lokalt på systemet i zonen "My Computer" när användaren luras till angriparens webbsida.

Uppdateringen inför även ny funktionalitet som tar bort möjligheten till authenticering med användarnamn och lösenord i adressfältet i IE, till exempel:
http(s)://username:password@server/resource.ext

Denna uppdatering rättar även till 2 tidigare publicerade sårbarheter:

CVE-referens: (CAN-2003-1027) Sitic referens: SR03-042
CVE-referens: (CAN-2003-1025) Sitic referens: SR03-050

Pårkade versioner:

Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6

Uppdatering:
Uppdatering 040216: http://support.microsoft.com/?kbid=831167
Internet Explorer 6 Service Pack 1:
Internet Explorer 6 Service Pack 1 (64-Bit Edition):
Internet Explorer 6 for Windows Server 2003:
Internet Explorer 6 for Windows Server 2003 (64-Bit Edition):
Internet Explorer6:
Internet Explorer 5.5Service Pack 2:
Internet Explorer 5.01Service Pack 4:
Internet Explorer 5.01Service Pack 3
Internet Explorer 5.01Service Pack 2:

Motverkan:
Installera föreslagen uppdatering.

Mer information:
Uppdatering 040216: http://support.microsoft.com/?kbid=831167
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
http://www.secunia.com/advisories/10765/

Versionshistorik:
040203: Särskilt råd skapat.
040216: Inledning, uppdatering och mer information har uppdaterats.