Wichtiges Sicherheitsupdate für Internet Explorer 5.5 und 6

Verhindert unerlaubtes Ausführen von Programmen auch in Outlook. Microsoft hat am 13. Dezember 2001 ein wichtiges Sicherheitsupdate für den Internet Explorer 5.5 (mit installiertem Service Pack 2) und Internet Explorer 6 veröffentlicht, das unter anderem eine im Microsoft Security Bulletin MS01-058 beschriebene gravierende Sicherheitslücke stopfen soll. Diese "File Execution Vulnerability" erlaubt es Angreifern, den Internet Explorer 6 zum automatischen, ungefragten Starten von Programmcode zu verleiten.

14. Dezember 2001 um 16:47 Uhr / Christian Klaß

Kommentare News folgen (öffnet im neuen Fenster)

Dazu kann laut Microsoft eine HTML-Seite so präpariert werden, dass der Browser dank eines Fehlers glaubt, es würde sich bei einer verlinkten ausführbaren Datei um einen anderen Dateityp handeln, der ohne Bedenken und Rückfrage geladen werden könnte. Dazu muss ein Angreifer lediglich den HTML-Header einer Webseite – oder eben auch einer HTML-E-Mail – entsprechend bearbeiten. Insbesondere für Nutzer von Microsofts E-Mail-Clients der Outlook-Serie ist das Update damit schon Pflicht, da der Fehler ein großes Sicherheitsrisiko darstellt. Der Internet Explorer 5.5 soll von dieser Sicherheitslücke nicht betroffen sein.

Die zweite mit dem Sicherheitsupdate vom 13. Dezember zu behebende Sicherheitslücke wird im Microsoft Security Bulletin MS01-015 beschrieben und erlaubt es einem Website-Betreiber, zwei Browserfenster zu öffnen. Eines davon zeige eine Website, ein anderes das lokale Dateisystem des Nutzers. Anschließend könnten Informationen vom Letzteren in Ersteres übertragen werden, was einen Lesezugriff auf jedes File eröffnet, das in einem Browserfenster geöffnet werden kann. Diese ebenfalls nicht gerade unbedeutende Sicherheitslücke betrifft sowohl den Internet Explorer 5.5 als auch dessen Nachfolger, IE 6.0.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Informationssicherheitsbeauftragte:r (m/w/d) BioConsult SH GmbH & Co. KG, Husum (Nordsee),Hamburg,Homeoffice (öffnet im neuen Fenster)

Werkstudent (m/w/d) Informatik / Mechatronik / Maschinenbau Teilzeit Nederman MikroPul GmbH, Friesenheim (öffnet im neuen Fenster)

Softwareentwickler Produktkonfiguration (m/w/d) KHS GmbH, Dortmund (öffnet im neuen Fenster)

SAP Integration Architect (m/f/d) Heraeus Consulting & IT Solutions GmbH, Hanau (öffnet im neuen Fenster)

Solution Architect Analytics AI (m/w/d) Deutsche Bundesbank, Frankfurt am Main (öffnet im neuen Fenster)

Softwareentwickler Produktkonfiguration (m/w/d) KHS GmbH, Bad Kreuznach (öffnet im neuen Fenster)

Teamlead IT / Software Development (m/w/d) InNuce Solutions GmbH, Hamburg (öffnet im neuen Fenster)

Die dritte Sicherheitslücke, die das neue Sicherheitsupdate behebt, erlaubt es einer Webseite oder auch HTML-Mail, in einer Dateidownload-Dialogbox einen falschen Dateityp vorzuspiegeln, so dass beispielsweise eine ausführbare Datei oder ein Script wie eine Text-Datei aussieht. Beim direkten Aufruf der Datei könnte so eine vermeintlich sichere Datei plötzlich ausgeführt werden, sowohl im IE 5.5 als auch im IE 6.0.

Das " 13 December 2001 Cumulative Patch for IE(öffnet im neuen Fenster) " getaufte Sicherheitsupdate schließt laut Microsoft auch alle anderen bereits behobenen Sicherheitslücken. Es findet sich zum Download in einer Version für den Internet Explorer 5.5 SP2(öffnet im neuen Fenster) und für den Internet Explorer 6(öffnet im neuen Fenster) . Windows-Nutzern, die eine der beiden Internet-Explorer-Versionen nutzen, ist dringend zu empfehlen, das Sicherheitspaket zu installieren.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen