Abo
  • Services:
Anzeige

Sicherheitsloch: Gopher zwingt Internet Explorer in die Knie

Microsoft bietet noch keinen Patch; Workaround möglich

Die finnische Sicherheitsfirma Online Solutions Oy berichtet über eine Sicherheitslücke im Internet Explorer, die bei der Nutzung des internen Gopher-Clients auftreten kann. Demnach genügt der Aufruf eines präparierten Gopher-Servers, damit ein Angreifer die volle Kontrolle über einen fremden Rechner erlangt.

Anzeige

Wie Online Solutiony Oy erklärt, kommt es zu einem Buffer Overflow, wenn speziell präparierte Gopher-Server mit dem im Internet Explorer enthaltenen Gopher-Client aufgerufen werden. Für die Weiterleitung können sowohl normale Webseiten als auch HTML-Mails benutzt werden. Dies führt dann dazu, dass ein Angreifer unbemerkt zahlreiche Kommandos auf dem befallenen Rechner ausführen kann. So kann er Programme installieren, Daten löschen oder beliebige Programme starten. Das Sicherheitsloch soll die Versionen 5.5 und 6.0 des Internet Explorer betreffen.

Anfang 90er-Jahre entstand das Gopher-Protokoll, das es erlaubt, über entsprechende Gopher-Server zuzugreifen, die Dateien in hierarchisch geordneten Verzeichnissen vorhalten. Da der Dienst heutzutage nur sehr selten verwendet wird, stufen die Finnen das Risiko des Sicherheitslochs als gering ein. Sie geben an, dieses Problem vor rund 14 Tagen an Microsoft gemeldet zu haben, ohne dass bisher ein Patch erschienen ist.

Wer sich dennoch gegen einen solchen Angriff schützen will, kann den Internet Explorer so konfigurieren, dass Gopher-Server nicht besucht werden, sofern man über einen Proxy-Server auf das Internet zugreift, berichten die Sicherheitsexperten. In den Internetoptionen geht man dazu in den Bereich "Verbindungen" und wählt dort die LAN-Einstellungen. In den erweiterten Einstellungen für den Proxy-Server trägt man im Feld "Gopher" als Adresse "localhost" und als Port "1" ein. Wer dann weiterhin Gopher-Dienste nutzen will, muss dann einen anderen Web-Browser oder spezielle Gopher-Clients benutzen, weil diese der Internet Explorer nicht mehr anzeigt.


eye home zur Startseite
boemer 07. Jun 2002

yep solang Microsoft diese Fehler nicht behebt, kann mann besser eine sicherer Browser...

Criena 06. Jun 2002

Yeah!

cmi 06. Jun 2002

nicht ganz passend, aber: MOZILLA 1.0 IST RAUS :))) http://mozilla.org/releases/

Nichelle 05. Jun 2002

P.S.: Hab ich e-books und Filme von Japanischen PayStream servern erwähnt?

Nichelle 05. Jun 2002

Jupp, ich nutz' gopher. Geht schneller, keine Traffic-Probleme, und viele Server habens...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Gerlingen
  2. Adcubum Deutschland GmbH, Stuttgart
  3. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  4. Daimler AG, Neu-Ulm


Anzeige
Hardware-Angebote
  1. 229,99€
  2. ab 799,90€
  3. 6,99€

Folgen Sie uns
       

  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: 50MBps

    bombinho | 02:01

  2. Re: Lustig. Aber Telefonkabel ist super?

    486dx4-160 | 01:27

  3. Re: Wegfall bedeutet kein Recht auf...

    486dx4-160 | 01:21

  4. Re: Koaxial steht der Glasfaser in kaum etwas nach

    bombinho | 01:02

  5. Re: Cool

    ML82 | 00:51


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel