• IT-Karriere:
  • Services:

Wichtiges Sicherheitsupdate für Internet Explorer 5.5 und 6

Verhindert unerlaubtes Ausführen von Programmen auch in Outlook

Microsoft hat am 13. Dezember 2001 ein wichtiges Sicherheitsupdate für den Internet Explorer 5.5 (mit installiertem Service Pack 2) und Internet Explorer 6 veröffentlicht, das unter anderem eine im Microsoft Security Bulletin MS01-058 beschriebene gravierende Sicherheitslücke stopfen soll. Diese "File Execution Vulnerability" erlaubt es Angreifern, den Internet Explorer 6 zum automatischen, ungefragten Starten von Programmcode zu verleiten.

Artikel veröffentlicht am ,

Dazu kann laut Microsoft eine HTML-Seite so präpariert werden, dass der Browser dank eines Fehlers glaubt, es würde sich bei einer verlinkten ausführbaren Datei um einen anderen Dateityp handeln, der ohne Bedenken und Rückfrage geladen werden könnte. Dazu muss ein Angreifer lediglich den HTML-Header einer Webseite - oder eben auch einer HTML-E-Mail - entsprechend bearbeiten. Insbesondere für Nutzer von Microsofts E-Mail-Clients der Outlook-Serie ist das Update damit schon Pflicht, da der Fehler ein großes Sicherheitsrisiko darstellt. Der Internet Explorer 5.5 soll von dieser Sicherheitslücke nicht betroffen sein.

Stellenmarkt
  1. CodeMonks GmbH, Nürnberg (Home-Office möglich)
  2. Stadtverwaltung Kaiserslautern, Kaiserslautern

Die zweite mit dem Sicherheitsupdate vom 13. Dezember zu behebende Sicherheitslücke wird im Microsoft Security Bulletin MS01-015 beschrieben und erlaubt es einem Website-Betreiber, zwei Browserfenster zu öffnen. Eines davon zeige eine Website, ein anderes das lokale Dateisystem des Nutzers. Anschließend könnten Informationen vom Letzteren in Ersteres übertragen werden, was einen Lesezugriff auf jedes File eröffnet, das in einem Browserfenster geöffnet werden kann. Diese ebenfalls nicht gerade unbedeutende Sicherheitslücke betrifft sowohl den Internet Explorer 5.5 als auch dessen Nachfolger, IE 6.0.

Die dritte Sicherheitslücke, die das neue Sicherheitsupdate behebt, erlaubt es einer Webseite oder auch HTML-Mail, in einer Dateidownload-Dialogbox einen falschen Dateityp vorzuspiegeln, so dass beispielsweise eine ausführbare Datei oder ein Script wie eine Text-Datei aussieht. Beim direkten Aufruf der Datei könnte so eine vermeintlich sichere Datei plötzlich ausgeführt werden, sowohl im IE 5.5 als auch im IE 6.0.

Das "13 December 2001 Cumulative Patch for IE" getaufte Sicherheitsupdate schließt laut Microsoft auch alle anderen bereits behobenen Sicherheitslücken. Es findet sich zum Download in einer Version für den Internet Explorer 5.5 SP2 und für den Internet Explorer 6. Windows-Nutzern, die eine der beiden Internet-Explorer-Versionen nutzen, ist dringend zu empfehlen, das Sicherheitspaket zu installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 599€
  2. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 599€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  4. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)

David 18. Dez 2001

nonsens - dort (und auch in allen anderen Produkten) sind so viele sicherheitslöcher...


Folgen Sie uns
       


Drive Pilot der S-Klasse ausprobiert

Die neue S-Klasse von Mercedes-Benz soll erstmals dem Fahrer die Verantwortung im Stau abnehmen.

Drive Pilot der S-Klasse ausprobiert Video aufrufen
Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

    •  /