Warnstufe:
Unkritisch

Auswirkungen:
Enthuellung sensitiver Informationen

Angriffsweg(e):
von extern

Software:
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x

Beschreibung:
Fuer den Microsoft Internet Explorer wurde eine Schwachstelle bestaetigt, ueber die Angreifer FTP Zugangsdaten wie Benutzername und Kennwort enthuellen koennen.

Wird beim Zugriff auf eine FTP Seite diese abgespeichert (ueber „Datei“, „Speichern Unter“) legt der Internet Explorer den Benutzernamen und das Kennwort fuer den FTP-Zugang in der entsprechenden Datei ab. Dies ermoeglicht den Zugriff Dritter, indem der Benutzer beispielsweise seine FTP-Zugangsdaten mit der gespeicherten Datei online stellt oder auf andere Art zugaenglich macht.

Die Schwachstelle wird fuer Internet Explorer Version 6 und 7 gemeldet (wenn “FTP-Site oeffnen” aus dem Windows-Explorer benutzt wird). Andere Versionen koennten jedoch ebenfalls betroffen sein.

Loesung:
Stellen Sie keine Dateien, die durch Speichern im Internet Explorer waehrend FTP Sitzungen abgelegt wurden, Dritten zur Verfuegung.

Original Security-Report:
http://blog.washingtonpost.com/securityfix/2007/08/ftp_files_expose_web_site_cred.html


Diese Security News basiert auf einem Advisory von Secunia:
http://www.secunia.com/advisories/26427