Abermals gefährliche Sicherheitslecks im Internet Explorer

Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode

Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.

Artikel veröffentlicht am ,

Eines der beiden Sicherheitslecks im Internet Explorer betrifft das Cross-Domain-Sicherheitsmodell des Browsers, worüber eigentlich der Austausch von Informationen über Domain-Grenzen hinweg unterbunden werden sollte. Ein Angreifer kann über eine entsprechend formatierte Webseite Script-Code in der Sicherheitszone "Mein Computer" ausführen, um auf dem angegriffenen System befindliche Applikationen mit den Rechten des angemeldeten Benutzers zu starten oder Dateien auf dem betreffenden System einzusehen.

Stellenmarkt
  1. IT-Support Spezialist Software (m/w/d) Holz
    OS Datensysteme GmbH, Ettlingen
  2. Projektmanager (w/m/d) IT Networking
    Computacenter AG & Co. oHG, Leipzig, Stuttgart
Detailsuche

Das zweite Sicherheitsloch erlaubt es einem Angreifer sogar, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über die Bereitstellung einer speziell formatierten Webseite das Einschleusen von beliebigem Programmcode erlaubt.

Die letztere der beiden Sicherheitslücken kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

Zudem setzt der von Microsoft bereitgestellte Sammel-Patch für das nicht mehr unterstützte ActiveX-Control BR549.DLL ein Kill-Bit, da dieses Reporting-Control ebenfalls ein Sicherheitsloch aufweist und so deaktiviert wird. Als Weiteres behebt der Patch einen Programmfehler, wodurch der Internet Explorer durch die Anzeige einer HTML-Seite zum Absturz gebracht werden kann. Dadurch ist auch ein Absturz des E-Mail-Clients möglich, wenn dieser den Internet Explorer zur Ansicht von HTML-Mails verwendet.

Golem Karrierewelt
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.01, 5.5 mit Service Pack 2 und 6.0 zum Download an, der auch frühere einzeln erschienene Sicherheits-Updates umfasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


xi 21. Aug 2003

Das wirst du wohl bei jeder vernünftigen Software finden, ich kenne keinen vernünftigen...

SH 21. Aug 2003

Generell ist es bei guten OpenSource Projekten so üblich, dass die Entwickler lieber...

brille.exe 21. Aug 2003

im Moment kann man nicht arbeiten mit windows, im Vergleich zu MAC/Linux. Ist doch keine...

xyz 21. Aug 2003

Stimmt genau, MS InternetExplorer hat einen Marktanteil von über 95% weltweit im...



Aktuell auf der Startseite von Golem.de
Sparmaßnahmen
"Komplettes Chaos" nach Entlassungen bei Oracle

Auch Oracle hat einen massiven Stellenabbau begonnen. Das Unternehmen will eine Milliarde US-Dollar an Kosten einsparen.

Sparmaßnahmen: Komplettes Chaos nach Entlassungen bei Oracle
Artikel
  1. Klimawandel: SSDs sind klimaschädlicher als mechanische Festplatten
    Klimawandel
    SSDs sind klimaschädlicher als mechanische Festplatten

    Während ihrer Lebensdauer verursacht eine SSD fast doppelt so hohe CO2-Emissionen wie eine mechanische HDD.

  2. Momentum 4 Wireless: Sennheisers neuer ANC-Kopfhörer hält lange durch
    Momentum 4 Wireless
    Sennheisers neuer ANC-Kopfhörer hält lange durch

    Guter Klang, hohe ANC-Leistung und eine Akkulaufzeit von 60 Stunden verspricht Sennheiser für den neuen ANC-Kopfhörer Momentum 4 Wireless.

  3. Microsoft Loop: Riesenkonzept mit Riesenchance auf Riesenchaos
    Microsoft Loop
    Riesenkonzept mit Riesenchance auf Riesenchaos

    Sehr unauffällig rollt Microsoft seine neue Technik Loop für die Onlinezusammenarbeit aus. Admins sollten sie jetzt schon auf dem Schirm haben, denn sie ist vielversprechend, erfordert aber viel Eindenken. Wir erklären sie im Detail.
    Von Mathias Küfner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (Gainward RTX 3070 559€, ASRock RX 6800 639€) • WD Black 2TB m. Kühlkörper (PS5) 219,90€ • Gigabyte Deals • Alternate (DeepCool Wakü 114,90€) • Apple Week bei Media Markt • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1TB 119€) • Gamesplant Summer Sale [Werbung]
    •  /