Gravierende Lücken im Internet Explorer

Wolfgang

KSG-Haarspalter™
Im Internet Explorer sind diverse Sicherheitslücken entdeckt worden, die genutzt werden können, um das System zu kompromittieren. Die Lücken sind für den IE 6.0 bestätigt, können aber auch andere Versionen betreffen.

Das erste Loch findet sich laut unserem Security-Kooperationspartner Secunia in der Routine zur Verarbeitung von "mhtml:"-URLs, die ein Umleitungs-Feature bietet, das sich dazu ausnutzen lässt, eine Sicherheits-Überprüfung des IE zu umgehen. Die Sicherheitsprüfung verbietet normalerweise Webseiten in der Zone "Internet" den Zugriff auf lokale Dateien.

Das genannte Umleitungs-Feature lässt sich ebenfalls dazu missbrauchen, Schad-Code aus dem Internet herunterzuladen und auf dem angegriffenen System auszuführen. Ein erfolgreicher Angriff setzt allerdings voraus, dass in der Zone "Arbeitsplatz" Script-Code ausgeführt werden darf.

Eine weitere Angriffsmöglichkeit entsteht per Cross-Site-Scripting. Über die Lücke kann Script-Code im Rechte-Kontext einer anderen Webseite ausgeführt werden, wenn diese einen Subframe enthält.

Zum Reigen der Probleme zählt auch eine Variante einer bereits behobenen Sicherheitslücke. Sie kann weiterhin dazu genutzt werden, die Klicks eines Benutzers zu "entführen" und bestimmte Aktionen ohne sein Wissen auszuführen. Weitere Informationen zu dieser Lücke finden Sie hier.

Außerdem lässt sich ein Fehler in der Download-Funktion ausnutzen, um den Inhalt des Cache-Verzeichnisses auszulesen. Der Angreifer gibt dazu die Dateiendung "HTM" an und spezifiziert für das Header-Feld "Content-Type:" einen ungültigen Wert. Diese Lücke betrifft alledings nicht alle oben genannten Versionen und könnte bereits im letzten Patch für den Internet Explorer behoben worden sein.

Die aufgeführten Sicherheitslücken sind für den Internet Explorer 6.0 bestätigt. Andere Versionen könnten jedoch ebenfalls betroffen sein und sind aufgrund der Brisanz der Meldung vorsichtshalber mit angegeben. Für die Lücken existieren laut Secunia bereits PoC-Exploits (Proof of Concept). Es ist also davon auszugehen, dass die Lücken von bösartigen Sites ausgenutzt werden.

Bislang einziges Gegenmittel: Schalten Sie Active Scripting nur für absolut vertrauenswürdige Sites ein - und nur dann wenn es absolut unabdingbar ist. Zusätzliche Informationen und Links finden Sie im zugehörigen Security Report.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren.

 
  • 28. März 2024
  • #Anzeige
Hi Wolfgang ... hast du hier schon mal geguckt?
  • Gefällt
Reaktionen: Gefällt 25 Personen
#VerdientProvisionen | Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Wenn dir die Beiträge zum Thema „Gravierende Lücken im Internet Explorer“ in der Kategorie „Technik-Ecke“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an: Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...

Diese Themen könnten dich auch interessieren:

Podifan
Ich kam auch nur durch Leinenendes Tipp zu dem Artikel. Das Urteil, das diesem Artikel zu Grunde liegt, war irgendwo hier schon mal Thema. Ich dachte allerdings, damals hätte es geheißen, die Stadt Köln wolle auf das Urteil hin auf weitere Bußgeldbescheide verzichten. Das liest sich jetzt...
Antworten
4
Aufrufe
735
snowflake
S
BM_Tequila
Du musst registriert sein, um diesen Inhalt sehen zu können. Die Drag&Drop-Schwachstelle im Internet Explorer ist auch durch den letzten kumulativen Patch von Microsoft nicht vollständig geschlossen. Durch die Kombination mit einer weiteren Lücke ist es wieder möglich, Code in Windows-Systeme...
Antworten
0
Aufrufe
563
BM_Tequila
BM_Tequila
BM_Tequila
09.10.2004 Du musst registriert sein, um diesen Inhalt sehen zu können. SANS hat seine neue Top-20 der Sicherheitslücken im Internet veröffentlicht, die aus zwei Top-Ten-Listen besteht -- eine für Windows und eine für Unix. In den Listen sind zwar...
Antworten
0
Aufrufe
416
BM_Tequila
BM_Tequila
Marion
Aus den Shortnews: Neue Sicherheitslücken in Word öffnen alle Türen Microsoft berichtet über zwei neu bekannt gewordene SIcherheitslücken im Office-Programm 'Word'. Der eine Fehler führt bei einem dafür präparierten Word-Dokument dazu, dass alle darin enthaltenen Makros in jedem Fall...
Antworten
0
Aufrufe
599
Marion
Andreas
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Sicherheitspatch für den Internet Explorer Microsoft stellt auf seiner Website ein neues Sicherheitsupdate für seinen Browser bereit. Der Du musst registriert sein, um diesen Inhalt sehen zu können. liegt für den...
Antworten
0
Aufrufe
489
Andreas
Andreas
Zurück
Oben Unten