Sicherheitsbulletin

Microsoft Security Bulletin MS98-020 – Kritisch

Patch verfügbar für die Sicherheitsanfälligkeit in "Frame Spoof"

Veröffentlicht: 23. Dezember 1998 | Aktualisiert: 16. Mai 2003

Version: 2.0

Ursprünglich veröffentlicht: 23. Dezember 1998

Aktualisiert: 16. Mai 2003

Zusammenfassung

Microsoft hat einen Patch veröffentlicht, der eine Sicherheitsanfälligkeit in Microsoft® Internet Explorer® behebt, die es einem böswilligen Websitebetreiber ermöglichen könnte, ein Fenster auf einer legitimen Website zu imitieren. Die Bedrohung durch diese Sicherheitsanfälligkeit besteht darin, dass das gefälschte Fenster Informationen vom Benutzer sammeln und an die bösartige Website zurücksenden kann.

Ein vollständig unterstützter Patch ist für diese Sicherheitsanfälligkeit verfügbar, und Microsoft empfiehlt, dass alle Kunden es herunterladen und installieren, um ihre Computer zu schützen.

Abgang

Diese Sicherheitsanfälligkeit ist vorhanden, da das Kreuz von Internet Explorer Standard der Schutz nicht auf die Navigation von Frames erweitert wird. Dies ermöglicht es einer böswilligen Website, Inhalte in einen Frame innerhalb des Fensters einer anderen Website einzufügen. Wenn dies ordnungsgemäß geschehen ist, kann der Benutzer möglicherweise nicht feststellen, dass der Frame

Inhalte stammen nicht von der legitimen Website und konnten dazu gebracht werden, der bösartigen Website personenbezogene Daten bereitzustellen. Nicht sichere (HTTP) und sichere (HTTPS)-Websites sind gleichermaßen gefährdet von dieser Sicherheitsanfälligkeit.

Obwohl es keine Berichte gab, dass Kunden von diesen Problemen negativ betroffen sind, veröffentlicht Microsoft einen Patch, um alle Risiken dieses Problems zu beheben.

Betroffene Softwareversionen

• Microsoft Internet Explorer-Versionen 3.X, 4.0, 4.01, 4.01 Service
• Pack 1 für Windows 95
• Microsoft Internet Explorer, Versionen 4.01 Service Pack 1 für Windows 98
• Microsoft Internet Explorer-Versionen 3.X, 4.0, 4.01, 4.01 Service
• Pack 1 für Windows NT 4.0
• Microsoft Internet Explorer-Versionen 3.X, 4.0, 4.01 für Windows 3.1
• Microsoft Internet Explorer-Versionen 3.X, 4.0, 4.01 für Windows NT 3.51
• Microsoft Internet Explorer-Versionen 3.X, 4.X für Macintosh
• Microsoft Internet Explorer, Version 4 für UNIX auf HPUX
• Microsoft Internet Explorer, Version 4 für UNIX unter Sun Solaris
• Es sind keine anderen Produkte oder Versionen von Internet Explorer betroffen.

Sicherheitsrisikobezeichner:CVE-1999-0869

Funktionsweise von Microsoft

Microsoft hat einen Patch veröffentlicht, der das identifizierte Problem behebt. Dieser Patch steht für den Download von den unten aufgeführten Websites unter What Customers Should Do zur Verfügung.

Microsoft hat dieses Sicherheitsbulletin an Kunden gesendet, die den Microsoft Product Security Notification Service abonnieren. Weitere Informationen zu diesem kostenlosen Kundendienst finden Sie im Microsoft Product Security Notification Service .

Microsoft hat den folgenden Knowledge Base -Artikel (KB) zu diesem Problem veröffentlicht:

• Microsoft Knowledge Base (KB)-Artikel 167614, Update verfügbar für "Frame Spoofing"-Sicherheitsproblem, https:

  (Hinweis: Es kann 24 Stunden nach der ursprünglichen Veröffentlichung dieses Bulletins dauern, bis der aktualisierte KB-Artikel in der webbasierten Knowledge Base sichtbar ist.)

Was Kunden tun sollten

Microsoft empfiehlt dringend, dass alle betroffenen Kunden den aktualisierten Patch herunterladen, um ihre Computer zu schützen. Die vollständige URL für jede betroffene Softwareversion wird unten angegeben.

Hinweis: Der Patch für die Sicherheitsanfälligkeit "Framespoof" enthält auch zwei zuvor veröffentlichte Patches für die Sicherheitsanfälligkeiten "Nicht vertrauenswürdiges Skript einfügen" und "Frameübergreifende Navigation". Kunden, die diese beiden Patches noch nicht heruntergeladen und installiert haben, müssen nur den Patch für die Sicherheitsanfälligkeit "Frame Spoof" herunterladen und anwenden. Kunden, die entweder oder beide Patches angewendet haben, sollten den Patch für die Sicherheitsanfälligkeit "Frame Spoof" anwenden, um sicherzustellen, dass sie den neuesten Schutz vor allen drei Sicherheitsrisiken haben.

Windows 98

Windows 98-Kunden können den aktualisierten Patch mit Windows Update abrufen. Um diesen Patch mit Windows Update zu erhalten, starten Sie Windows Update über das Windows-Startmenü, und klicken Sie auf "Produktupdates". Wenn Sie dazu aufgefordert werden, wählen Sie "Ja" aus, um Windows Update zuzulassen, um festzustellen, ob dieser Patch und andere Updates von Ihrem Computer benötigt werden. Wenn Ihr Computer diesen Patch benötigt, finden Sie ihn im Abschnitt "Kritische Updates" der Seite.

Internet Explorer 3.X und 4.0

Internet Explorer 3.X- und 4.0-Benutzer müssen zuerst ein Upgrade auf Internet Explorer 4.01 mit Service Pack 1 durchführen, das unter </https:https:>. Wenden Sie nach der Installation des Upgrades den Internet Explorer 4.01-Patch an, wie unten beschrieben.

Internet Explorer 4.01

Kunden, die Internet Explorer 4.01 (mit oder ohne Service Pack 1) verwenden, können den Patch von der Internet Explorer Security-Website (</https:https:>) abrufen. Die Patches für Macintosh-, HPUX- und Solaris-Versionen werden geringfügig verzögert. Wenn sie verfügbar sind, wird eine Benachrichtigung unter </https:https:>veröffentlicht.

Weitere Informationen

Weitere Informationen zu diesem Problem finden Sie in den folgenden Referenzen.

• Microsoft Security Bulletin 98-020, Patch available for "Frame Spoof" Vulnerability (the Web-posted version of this bulletin), https://www.microsoft.com/technet/security/bulletin/ms98-020.mspx.
• Microsoft Knowledge Base (KB)-Artikel 167614, Update verfügbar für das Sicherheitsproblem "Frame Spoof", </https:https:>.

Bestätigungen

Microsoft möchte Dr. Richard Reiner von SecureXpert Labs für die Ermittlung der Sicherheitsanfälligkeit in Frame-Spoofs anerkennen und Juan Carlos Garc Cuartango von Spanien für seine fortgesetzte Unterstützung und Eingabe in Bezug auf Varianten des Problems mit nicht vertrauenswürdigen Skripted Paste.

Anfordern von Support für dieses Problem

Dies ist ein unterstützter Patch. Wenn Sie Probleme beim Installieren dieses Patches haben oder technische Unterstützung bei diesem Patch benötigen, wenden Sie sich an den technischen Support von Microsoft. Informationen zum Kontaktieren des technischen Supports von Microsoft finden Sie unter </https:https:>.

Revisionen

• 23. Dezember 1998: Bulletin Created
• V2.0 (16. Mai 2003): Versionsverwaltung und aktualisierte Informationen zur Patchverfügbarkeit eingeführt.

Weitere sicherheitsbezogene Informationen zu Microsoft-Produkten finden Sie unter https://www.microsoft.com/technet/security

DIE IN DER MICROSOFT KNOWLEDGE BASE BEREITGESTELLTEN INFORMATIONEN WERDEN OHNE JEGLICHE GARANTIE BEREITGESTELLT. MICROSOFT LEHNT ALLE GEWÄHRLEISTUNGEN AB, ENTWEDER AUSDRÜCKLICH ODER IMPLIZIERT, EINSCHLIEßLICH DER GEWÄHRLEISTUNGEN DER HANDELSÜBLICHKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. IN KEINEM FALL HAFTET MICROSOFT CORPORATION ODER SEINE LIEFERANTEN FÜR JEGLICHE SCHÄDEN, EINSCHLIEßLICH DIREKTER, INDIREKTER, ZUFÄLLIGER, FOLGESCHÄDEN, VERLUST VON GESCHÄFTSGEWINNEN ODER SONDERSCHÄDEN, AUCH WENN DIE MICROSOFT CORPORATION ODER IHRE LIEFERANTEN ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDEN. EINIGE STAATEN LASSEN DEN AUSSCHLUSS ODER DIE HAFTUNGSBESCHRÄNKUNG FÜR FOLGE- ODER ZUFÄLLIGE SCHÄDEN NICHT ZU, SODASS DIE VORSTEHENDE EINSCHRÄNKUNG NICHT ZUTRIFFT.

Gebaut am 2014-04-18T13:49:36Z-07:00</https:>