Abo
  • IT-Karriere:

Fünf schwere Sicherheitslücken im Internet Explorer

Angreifer können Programmcode ausführen und Dateien einsehen

Für den Internet Explorer 5.01, 5.5 und 6.0 bietet Microsoft einen Sammel-Patch an, der alle bislang veröffentlichten Sicherheits-Patches umfassen sowie fünf neue Lecks beheben soll. Ohne eingespielte Patches können Angreifer Dateien ausspionieren oder Programmcode auf einem fremden System ausführen. Alle Sicherheitslecks werden von Microsoft für mehrere Versionen des Internet Explorer als kritisch eingestuft.

Artikel veröffentlicht am ,

Allein drei Sicherheitslecks sitzen im Cross-Domain-Security-Modell, wodurch ein Angreifer auf die lokale "My Computer"-Zone zugreifen kann. Dies versetzt ihn in die Lage, Einblick in andere Webseiten sowie lokale Dateien zu erlangen und darüber hinaus, Programmcode mit den Rechten des angemeldeten Nutzers auszuführen.

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. AWO gemeinnützige Gesellschaft für soziale Einrichtungen und Dienste in Nordhessen mbH, Kassel

Ein weiteres Sicherheitsleck im Internet Explorer betrifft das Zonen-Modell des Browsers bei der Bearbeitung von XML-Objekten, was einem Angreifer erlaubt, lokale Dateien auf einem fremden System zu lesen. Dieses Sicherheitsleck betrifft lediglich den Internet Explorer in den Versionen 5.5 und 6.0. Bei einer Drag-and-Drop-Operation während eines HTML- oder DHTML-Events sorgt ein anderes Sicherheitsloch dafür, dass beim Klick auf einen Link eine Datei abgespeichert wird, ohne dass ein entsprechender Abfragedialog den Nutzer um Erlaubnis bittet.

Alle fünf Sicherheitslöcher können auf ähnliche Art und Weise ausgenutzt werden. So genügt für die ersten drei Lecks der Besuch einer präparierten Webseite oder das Öffnen einer entsprechend formatierten HTML-E-Mail, sofern die betreffenden E-Mail-Clients die Rendering-Engine des Internet Explorer verwenden. Zur Ausnutzung des XML-Lecks muss der Anwender zusätzlich dazu gebracht werden, eine HTML-Datei auf seinen Rechner zu laden. Bei der Drag-and-Drop-Sicherheitslücke muss ein Angreifer hingegen den Nutzer dazu bringen, auf einen bestimmten Link in einer Webseite oder HTML-E-Mail zu klicken.

Microsoft bietet über das englischsprachige Security Bulletin Patches für den Internet Explorer 5.01, 5.5 sowie 6.0 zum Download an. Da der Hersteller die entdeckten Sicherheitslöcher für viele Versionen des Internet Explorer als kritisch einstuft, empfiehlt es sich, die Patches möglichst zügig einzuspielen.

Weitere Sicherheits-Patches hat Microsoft zeitgleich für Windows 2000, XP, Word, Excel sowie die FrontPage Server Extensions veröffentlicht, um die darin enthaltenen gefährlichen Sicherheitslöcher zu stopfen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  3. 4,99€
  4. 0,49€

QuHno 22. Nov 2003

Was bedeuten würde, dass Linux nicht userfreundlich ist ;-) Aber im Ernst: Ich bin ein...

Frank 21. Nov 2003

allerdings auch der weitaus reichste... mit dem weitaus beschissensten Image..

nur nicht jammern 21. Nov 2003

Spendabel Bill Gates gibt ab Microsoft-Gründer Bill Gates und seine Frau Melinda sind...

Kilroy 13. Nov 2003

Ich kenne auch keinen einzigen DAU der Linux installieren kann.

Sgt.Kabutimann 12. Nov 2003

Bingo :-))


Folgen Sie uns
       


Probefahrt mit dem e.Go Life

Der e.Go Life ist ein elektrisch angetriebener Kleinwagen des neuen Aachener Automobilherstellers e.Go Mobile. Wir haben eine Probefahrt gemacht.

Probefahrt mit dem e.Go Life Video aufrufen
Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    Vernetztes Fahren: Wer hat uns verraten? Autodaten
    Vernetztes Fahren
    Wer hat uns verraten? Autodaten

    An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
    Eine Analyse von Friedhelm Greis

    1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
    2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
    3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

      •  /