• IT-Karriere:
  • Services:

Sicherheitsloch in Cookie-Verwaltung vom Internet Explorer

Patch zum Stopfen der Sicherheitslücke noch nicht fertig

Wie Microsoft in einem aktuellen Security Bulletin mitteilt, besitzen mindestens die Versionen 5.5 und 6.0 des Internet Explorer eine Sicherheitslücke, die es Angreifern ermöglicht, Daten in Cookies zu lesen und zu verändern. Einen Patch dagegen bietet Microsoft bislang nicht an, will dies aber so schnell wie möglich nachholen.

Artikel veröffentlicht am ,

Webseiten können lokal auf der Festplatte des Anwenders so genannte Cookies abspeichern, in denen benutzerspezifische Informationen abgelegt werden. Beim erneuten Besuch der Site liest diese den zugehörigen Cookie und nutzt die darin gespeicherten Informationen. Eigentlich kann eine Website immer nur den selbst angelegten Cookie lesen und nicht auf "fremde" Cookies zugreifen.

Stellenmarkt
  1. BEHG HOLDING AG, Berlin
  2. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Durch ein Sicherheitsloch im Internet Explorer 5.5 und 6.0 kann ein Angreifer auf alle lokal gespeicherten Cookies zugreifen und diese nicht nur lesen, sondern sogar verändern. Das wäre zum Beispiel möglich, indem der Angreifer eine entsprechend präparierte Website bereitstellt. Vermutlich existiert das Problem auch in früheren Versionen des Redmondschen Browsers, allerdings leistet Microsoft dafür keinerlei Support mehr. Microsoft selbst stuft die Sicherheitslücke als hohes Risiko ein.

Der Hersteller arbeitet nach eigenen Angaben bereits an einem Patch, um das Problem zu beheben. Wann dieser verfügbar sein wird, verriet er aber nicht. So lange kann man sich mit einem Workaround behelfen, indem man das Active Scripting in den Browser-Einstellungen für die Internet- und Intranet-Zone deaktiviert. Als Alternative bleibt natürlich, die Cookie-Annahme im Internet Explorer zu deaktivieren und eventuell lokal abgelegte Cookies zu löschen. Anwender von Outlook Express sollten zudem die Zone "Restricted Sites" auswählen, empfiehlt Microsoft.

Das Sicherheitsloch betrifft die Versionen 5.5 mit SP2 und 6.0 des Internet Explorer. Ob das Problem auch in früheren Versionen besteht, überprüfte Microsoft wie gewohnt nicht, weil der Hersteller für frühere Versionen keinen Support mehr übernimmt.

Nachtrag vom 15. November 2001:
Ab sofort steht ein deutschsprachiger Patch zum Stopfen der Sichrheitslücke für den Internet Explorer 5.5 SP2 und den Internet Explorer 6.0 zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

cleaner 13. Nov 2001

open was? achso, das selbst gestrickte zeugs, na klar: http://www.nickles.de/c/n/1976...

Borg³ 12. Nov 2001

Frage an die Experten (nicht flamer, Experten!): Wär das mit Open Source auch passiert?


Folgen Sie uns
       


    •  /