Home
News
W4SaferMail
W4MaxiMail
Leistungen
Domains
W4SaferMail
Webhosting
Serverhosting
W4MaxiMail
Webdesign
Gameserver
Software
Hardware
Referenzen
W4SaferMail
SaferHosting
SaferOffice
Schnäppchen
Software
Hardware
Dienstleistung
Support
Service
Webmail
Support
Viruswarnung
Downloads
AGB
Kontakt
Impressum

aDSL
sDSL-Zugang
sDSL-Line
DialUp
LeasedLine
Druckversion
Copyright © 2003 W4
Aktuelle News

 zur Übersicht
21.10.2004
Schwere Sicherheitslöcher im aktuellen Internet Explorer

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2

Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Wie http-equiv herausfand, werden Drag-and-Drop-Operationen immer noch nicht ausreichend genug geprüft, obwohl Microsoft erst vor einer Woche am 13. Oktober 2004 einen Patch veröffentlicht hat. Damit sollte die im August 2004 bekannt gewordene und ebenfalls von http-equiv entdeckte Drag-and-Drop-Sicherheitslücke eigentlich geschlossen werden.

Dennoch lassen sich Drag-and-Drop-Operationen von der Internet-Zone auf den lokalen Rechner weiterhin von Angreifern ausnutzen. Der Internet Explorer prüft in Webseiten eingebundene Bilder- und Multimediadateien nicht korrekt, so dass ein Angreifer über eine präparierte HTML-Seite beliebigen Active-scripting-Code in der "lokalen Zone" des Internet Explorer auf einem fremden Rechner laufen lassen kann. Darüber ließen sich zahlreiche Aktionen auf einem fremden System ausführen, um so eine weit reichende Kontrolle darüber zu erlangen.

Mit dem Service Pack 2 für Windows XP hat Microsoft das Ausführen von Active scripting in der lokalen Zone des Internet Explorer unterbunden, um so eine Vielzahl von möglichen Angriffsszenarien im Vorfeld zu unterbinden. Daher lässt sich das oben genannte Sicherheitsloch auch nicht ohne weiteres auf Systemen ausnutzen, auf denen das Service Pack 2 für Windows XP installiert ist.

Allerdings umgeht das zweite von http-equiv entdeckte Sicherheitsloch diese mit dem Service Pack 2 eingeführte Schranke, so dass das erste Sicherheitsloch dadurch auch auf Systemen mit installiertem Service Pack 2 zuschlagen kann. Im Zusammenspiel mit einem HTML-Help-Control lässt sich das Sicherheitszonenmodell im Internet Explorer umgehen. Dazu muss ein HTML-Help-Control auf eine präparierte Index-Datei (.hhk) verweisen und schon lassen sich auf lokaler Ebene beliebige HTML-Dokumente ausführen.

Auch vor diesen beiden Sicherheitslöchern kann man sich schützen, indem man Activescripting im Internet Explorer deaktiviert oder eben auf einen anderen Browser ausweicht. Microsoft bietet bislang keinen Patch zur Abhilfe an.

(Quelle: www.golem.de)

Unser dringender Tip: Firefox verwenden!
Heute ist der
Aktuelle News
14.01.2011
Keine aktuellen News