Sicherheitsloch in Cookie-Verwaltung vom Internet Explorer

Patch zum Stopfen der Sicherheitslücke noch nicht fertig

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer eine Sicherheitslücke, die es Angreifern ermöglicht, Daten in Cookies zu lesen und zu verändern. Einen Patch dagegen bietet Microsoft bislang nicht an, will dies aber so schnell wie möglich nachholen.

Artikel veröffentlicht am ,

Webseiten können lokal auf der Festplatte des Anwenders so genannte Cookies abspeichern, in denen benutzerspezifische Informationen abgelegt werden. Beim erneuten Besuch der Site liest diese den zugehörigen Cookie und nutzt die darin gespeicherten Informationen. Eigentlich kann eine Website immer nur den selbst angelegten Cookie lesen und nicht auf "fremde" Cookies zugreifen.

Stellenmarkt
  1. Linux- und Datenbankadministrator*in (m/w/d)
    Stadt Mülheim (Ruhr), Mülheim an der Ruhr
  2. Senior Projektleiter (m/w/d) für automotive HPC-Lösungen
    Elektrobit Automotive GmbH, Braunschweig, Ingolstadt, Ulm, Erlangen
Detailsuche

Durch ein Sicherheitsloch im Internet Explorer 5.5 und 6.0 kann ein Angreifer auf alle lokal gespeicherten Cookies zugreifen und diese nicht nur lesen, sondern sogar verändern. Das wäre zum Beispiel möglich, indem der Angreifer eine entsprechend präparierte Website bereitstellt. Vermutlich existiert das Problem auch in früheren Versionen des Redmondschen Browsers, allerdings leistet Microsoft dafür keinerlei Support mehr. Microsoft selbst stuft die Sicherheitslücke als hohes Risiko ein.

Der Hersteller arbeitet nach eigenen Angaben bereits an einem Patch, um das Problem zu beheben. Wann dieser verfügbar sein wird, verriet er aber nicht. So lange kann man sich mit einem Workaround behelfen, indem man das Active Scripting in den Browser-Einstellungen für die Internet- und Intranet-Zone deaktiviert. Als Alternative bleibt natürlich, die Cookie-Annahme im Internet Explorer zu deaktivieren und eventuell lokal abgelegte Cookies zu löschen. Anwender von Outlook Express sollten zudem die Zone "Restricted Sites" auswählen, empfiehlt Microsoft.

Das Sicherheitsloch betrifft die Versionen 5.5 mit SP2 und 6.0 des Internet Explorer. Ob das Problem auch in früheren Versionen besteht, überprüfte Microsoft wie gewohnt nicht, weil der Hersteller für frühere Versionen keinen Support mehr übernimmt.

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
Weitere IT-Trainings

Nachtrag vom 15. November 2001:
Ab sofort steht ein deutschsprachiger Patch zum Stopfen der Sichrheitslücke für den Internet Explorer 5.5 SP2 und den Internet Explorer 6.0 zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cleaner 13. Nov 2001

open was? achso, das selbst gestrickte zeugs, na klar: http://www.nickles.de/c/n/1976...

Borg³ 12. Nov 2001

Frage an die Experten (nicht flamer, Experten!): Wär das mit Open Source auch passiert?



Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. SMS: Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels
    SMS
    Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels

    Der Bundesfinanzminister hat den Porsche-Chef erst nach der Entscheidung kontaktiert, die Ausnahme für E-Fuels in die EU-Verhandlungen einzubringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /