Schon wieder kritisches Sicherheitsloch im Internet Explorer

Andreas

Meldung vom 03.02.2004 09:34
Update für Internet Explorer schließt drei Sicherheitslücken

Microsoft hat das Security Bulletin MS04-004 veröffentlicht, das drei Fehler im Internet Explorer beschreibt. Einer davon ermöglicht das Laden und Ausführen von Code auf die Systeme von Anwendern. Betroffen sind die Versionen 5.01, 5.5 und 6.

Der seit mehreren Monaten bekannte Fehler im Sicherheitsmodell des Internet Explorers lässt die Ausführung von Skripten in der lokalen Zonen zu, selbst wenn es in einer anderen, nicht-vertrauenswürdigen Zone geladen wurde. Das Lesen eines HTML-Dokumentes, etwa beim Besuchen einer Webseite oder dem Öffnen einer HTML-Mail, beispielsweise in Outlook, reicht aus, um die Skripte auszuführen und weiteren Code nachzuladen und im Kontext des Anwenders auszuführen. Einige Webseiten nutzen diese Schwachstelle seit längerem aus,

um Trojaner und Dialer auf dem Rechner zu installieren.

Ein weiteres Problem tritt beim Ausführen von Drag&Drop-Vorgängen in Zusammenhang mit Dynamic-HTML auf. Mit manipulierten Links in HTML-Dokumenten ist es möglich, Dateien in einem beliebigen Zielverzeichnis eines PCs zu speichern, ohne ein entsprechendes Dialogfeld anzuzeigen. Der Anwender muss dazu allerdings den Link anklicken, es wird aber zunächst kein Skript oder Programm gestartet. In Kombination mit anderen Schwachstellen kann ein Angreifer aber nachträglich Zugriff auf diese Datei erhalten und sie ausführen.

Der zur Verfügung gestellte kumulative Patch KB 832894 beseitigt die beiden Lücken und zusätzlich noch das URL-Spoofing-Problem,

mit dem Anwender gefälschte URLs als korrekt angezeigt wurden. Wie angekündigt unterstützt der Internet Explorer nach dem Update

Benutzernamen und Kennwörter bei http und http mit SSL sowie https nicht mehr. Bei URLs, die durch ein @-Zeichen vom Rest einer http- oder https-URL abgetrennte Bestandteile enthalten, gibt Microsofts Webbrowser nur noch die Fehlermeldung "Invalid syntax error" aus.

Das Installieren und Ausführen von Dateien mit einem Fehler in der showhelp()-Funktion ist aber immer noch möglich. Ob der eigene PC für diese Lücke anfällig ist, können Anwender mit dem c't-Browsercheck

überprüfen

Siehe dazu auch:

* Security Bulletin MS04-004
 
  • 29. März 2024
  • #Anzeige
Hi Andreas ... hast du hier schon mal geguckt?
  • Gefällt
Reaktionen: Gefällt 20 Personen
#VerdientProvisionen | Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Boah Andreas, ich finde man sollte dein Extra in KSG-Unke umbenennen :D

Du machst mir dauernd angst ! :lol:

LG Alex
 
@Andreas

..merci bien ;) wusste davon aber auch schon länger (dank heise etc.) und habe mir den neuen Patch gerade geladen. Funktioniert alles wie gewohnt (gut !!! ) null Probleme, null Trojaner (auch nach allen möglichen manuellen Checks), null Viren (dank FreeAV) und nem Wächter (Trojancheck) der alle Veränderungen an Registriertem meldet ;)

:hallo:
M.

p.s.: Spybot Search and Destroy und Ad-Aware vergas ich noch :D (und Linux als Alternative)
 
Wenn dir die Beiträge zum Thema „Schon wieder kritisches Sicherheitsloch im Internet Explorer“ in der Kategorie „Technik-Ecke“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an: Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...

Diese Themen könnten dich auch interessieren:

Andreas
Microsoft hat eine Sicherheits-Verlautbarung ("Microsoft Security Bulletin MS06-001") herausgegeben: Du musst registriert sein, um diesen Inhalt sehen zu können. Es gibt Downloads, die das Problem lösen sollen für folgenden Betrübsysteme: Windows 2000 Service Pack 4 Windows XP Service Pack 1/...
Antworten
8
Aufrufe
1K
Andreas
Andreas
lupita11
Danke! Ich habe jetzt einen Vertrag bei einem anderen Anbieter gemacht, dort kann man die Einrichtung des ganzen dazubuchen. Dann sehe ich gleich, was Sache ist. ... ich telefoniere normalerweise übers Internet, was auch seit zwei Tagen nicht funktioniert, das kann ich jetzt auch noch regeln...
Antworten
2
Aufrufe
474
lupita11
lupita11
N8fee
Mutti sieht mir ziemlich nach nem Labrador-Staff Mix aus.
Antworten
4
Aufrufe
653
junglist1
J
mailein1989
Ist Highspeed Internet nicht LTE? Und dann nur 500 MB ist ja nicht viel. Das ist in der Regel fix aufgebraucht. Edit: Das nachbuchen ist in den meisten Fällen problemlos machbar. Es unterscheiden sich bloss immer die Preise.
Antworten
8
Aufrufe
1K
Body2015
Body2015
Zurück
Oben Unten