home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / ms-frame-spoof.txt < prev    next >
Encoding:
Text File  |  1999-03-24  |  8.1 KB  |  189 lines
  1. >From: Microsoft Product Security Notification Service
  2. [mailto:MICROSOFT_SECURITY@ANNOUNCE.MICROSOFT.COM] On Behalf Of
  3. Microsoft Product Security
  4. Sent: Wednesday, December 23, 1998 9:51 AM
  5. To: MICROSOFT_SECURITY@ANNOUNCE.MICROSOFT.COM
  6. Subject: Microsoft Security Bulletin (MS98-020)
  7.  
  8.  
  9. The following is a Security  Bulletin from the Microsoft Product Security
  10. Notification Service.
  11.  
  12. Please do not  reply to this message,  as it was sent  from an unattended
  13. mailbox.
  14.                     ********************************
  15.  
  16. Microsoft Security Bulletin (MS98-020)
  17. --------------------------------------
  18.  
  19. Patch Available for "Frame Spoof" Vulnerability
  20.  
  21. Originally Posted: December 23, 1998
  22.  
  23. Summary
  24. =======
  25. Microsoft has released a patch that fixes a vulnerability in Microsoft(r)
  26. Internet Explorer(r)  that could allow a malicious web site operator to
  27. impersonate a window on a legitimate web site.   The threat posed by this
  28. vulnerability is that the bogus window could collect information from  the
  29. user and send it back to the malicious site.
  30.  
  31. A fully supported patch is available for this vulnerability, and Microsoft
  32. recommends that all  customers download and install it to protect their
  33. computers.
  34.  
  35. Issue
  36. =====
  37. This vulnerability exists because Internet Explorer's cross domain
  38. protection does not extend to  navigation of frames. This makes it possible
  39. for a malicious web site to insert content into a  frame within another web
  40. site's window. If done properly, the user might not be able to tell that
  41. the frame contents were not from the legitimate site, and could be tricked
  42. into providing  personal data to the malicious site. Non-secure (HTTP) and
  43. secure (HTTPS) sites are equally at  risk from this vulnerability.
  44.  
  45. While there have not been any reports of customers being adversely affected
  46. by these problems,  Microsoft is releasing a patch to address any risks
  47. posed by this issue.
  48.  
  49. Affected Software Versions
  50. ==========================
  51.  - Microsoft Internet Explorer versions 3.X, 4.0, 4.01,
  52.    4.01 Service Pack 1 for Windows 95
  53.  - Microsoft Internet Explorer versions 4.01 Service
  54.    Pack 1 for Windows 98
  55.  - Microsoft Internet Explorer versions 3.X, 4.0, 4.01,
  56.    4.01 Service Pack 1 for Windows NT 4.0
  57.  - Microsoft Internet Explorer versions 3.X, 4.0, 4.01
  58.    for Windows 3.1
  59.  - Microsoft Internet Explorer versions 3.X, 4.0, 4.01
  60.    for Windows NT 3.51
  61.  - Microsoft Internet Explorer versions 3.X, 4.X for Macintosh
  62.  - Microsoft Internet Explorer version 4 for UNIX on HPUX
  63.  - Microsoft Internet Explorer version 4 for UNIX on
  64.    Sun Solaris
  65.  
  66. No other products or versions of Internet Explorer are affected
  67.  
  68. What Microsoft is Doing
  69. =======================
  70. Microsoft has released a patch that fixes the problem identified. This patch
  71. is available for  download from the sites listed below in What Customers
  72. Should Do.
  73.  
  74. Microsoft has sent this security bulletin to customers subscribing
  75. to the Microsoft Product Security Notification Service (see
  76. http://www.microsoft.com/security/services/bulletin.asp for more
  77. information about this free customer service).
  78.  
  79. Microsoft has published the following Knowledge Base (KB) article on this
  80. issue:
  81.  - Microsoft Knowledge Base (KB) article Q167614,
  82.    Update Available For "Frame Spoofing" Security Issue,
  83.    http://support.microsoft.com/support/kb/articles/q167/6/14.asp
  84.    (Note: It might take 24 hours from the original posting of
  85.    this bulletin for the updated KB article to be visible in
  86.    the Web-based Knowledge Base.)
  87.  
  88. What Customers Should Do
  89. ========================
  90. Microsoft highly recommends that all affected customers download the updated
  91. patch to protect  their computers. The complete URL for each affected
  92. software version is given below.
  93.  
  94. NOTE: The patch for the "Frame Spoof" Vulnerability also includes two
  95. previously-released  patches, for the "Untrusted Scripted Paste" and "Cross
  96. Frame Navigate" vulnerabilities. Customers  who have not yet downloaded and
  97. installed these two patches need only download and apply the  patch for the
  98. "Frame Spoof" Vulnerability. Customers who have applied either or both of
  99. patches  should apply the patch for the "Frame Spoof" Vulnerability to
  100. ensure that they have the latest  protection against all three
  101. vulnerabilities.
  102.  
  103. Windows 98
  104. ----------
  105. Windows 98 customers can obtain the updated patch using Windows Update. To
  106. obtain this patch  using Windows Update, launch Windows Update from the
  107. Windows Start Menu and click "Product  Updates." When prompted, select 'Yes'
  108. to allow Windows Update to determine whether this patch and  other updates
  109. are needed by your computer. If your computer does need this patch, you will
  110. find  it listed under the "Critical Updates" section of the page.
  111.  
  112. Internet Explorer 3.X and 4.0
  113. -----------------------------
  114. Internet Explorer 3.X and 4.0 users must first upgrade to Internet
  115. Explorer 4.01 with Service Pack 1, which is available at
  116. http://www.microsoft.com/windows/ie/download/. After installing
  117. the upgrade, apply the Internet Explorer 4.01 patch as discussed below.
  118.  
  119. Internet Explorer 4.01
  120. ----------------------
  121. Customers using Internet Explorer 4.01 (with or without Service
  122. Pack 1) can obtain the patch from the Internet Explorer Security
  123. web site, (http://www.microsoft.com/windows/ie/security/spoof.asp).
  124. The patches for the Macintosh, HPUX and Solaris versions will be
  125. slightly delayed. When they are available, a notice will be posted
  126. on http://www.microsoft.com/ie/security/.
  127.  
  128. More Information
  129. ================
  130. Please see the following references for more information related to this
  131. issue.
  132.  - Microsoft Security Bulletin 98-020, Patch Available for "Frame
  133.    Spoof" Vulnerability (the Web-posted version of this bulletin),
  134.    http://www.microsoft.com/security/bulletins/ms98-020.asp.
  135.  - Microsoft Knowledge Base (KB) article Q167614,
  136.    Update Available For "Frame Spoof" Security Issue,
  137.    http://support.microsoft.com/support/kb/articles/q167/6/14.asp.
  138.  
  139. Acknowledgements
  140. ================
  141. Microsoft wishes to acknowledge Juan Carlos Garcia Cuartango of Spain for
  142. his continued  assistance and input regarding variants of the Untrusted
  143. Scripted Paste Issue.
  144.  
  145. Obtaining Support on this Issue
  146. ===============================
  147. This is a supported patch. If you have problems installing
  148. this patch or require technical assistance with this patch,
  149. please contact Microsoft Technical Support. For information
  150. on contacting Microsoft Technical Support, please see
  151. http://support.microsoft.com/support/contact/default.asp.
  152.  
  153. Revisions
  154. =========
  155.  - December 23, 1998: Bulletin Created
  156.  
  157.  
  158. For additional security-related information about Microsoft products,
  159. please visit http://www.microsoft.com/security
  160.  
  161.  
  162. ----------------------------------------------------------------------------
  163.  
  164. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED "AS IS"
  165. WITHOUT WARRANTY OF  ANY KIND. MICROSOFT DISCLAIMS ALL WARRANTIES, EITHER
  166. EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES  OF MERCHANTABILITY AND FITNESS
  167. FOR A PARTICULAR PURPOSE. IN NO EVENT SHALL MICROSOFT CORPORATION  OR ITS
  168. SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT,
  169. INCIDENTAL,  CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES,
  170. EVEN IF MICROSOFT CORPORATION OR ITS  SUPPLIERS HAVE BEEN ADVISED OF THE
  171. POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE  EXCLUSION OR
  172. LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE
  173. FOREGOING  LIMITATION MAY NOT APPLY.
  174.  
  175. (c) 1998 Microsoft Corporation. All rights reserved. Terms of Use.
  176.  
  177.    *******************************************************************
  178. You have received  this e-mail bulletin as a result  of your registration
  179. to  the   Microsoft  Product  Security  Notification   Service.  You  may
  180. unsubscribe from this e-mail notification  service at any time by sending
  181. an  e-mail  to  MICROSOFT_SECURITY-SIGNOFF-REQUEST@ANNOUNCE.MICROSOFT.COM
  182. The subject line and message body are not used in processing the request,
  183. and can be anything you like.
  184.  
  185. For  more  information on  the  Microsoft  Security Notification  Service
  186. please    visit    http://www.microsoft.com/security/bulletin.htm.    For
  187. security-related information  about Microsoft products, please  visit the
  188. Microsoft Security Advisor web site at http://www.microsoft.com/security.
  189.