Abo
  • Services:
Anzeige

Weitere Sicherheitslücke im Internet Explorer

Fälschung von Dateiendungen möglich

Die Mailingliste Full Disclosure dokumentiert ein weiteres Sicherheitsloch im Internet Explorer, das nach einem ähnlichen Muster arbeitet wie der kürzlich bekannt gewordene Ordner-Bug in Windows XP. Ein Angreifer kann dem Internet Explorer Dateien mit falschen Endungen unterschieben, so dass ein Opfer vermeintlich sichere Dateien öffnet und so womöglich gefährlichen Programmcode ausführt.

Anzeige

Wie der Sicherheitsspezialist mit dem Pseudonym http-equiv auf Full Disclosure berichtet, fängt der Internet Explorer gefälschte CLASSIDs nicht ab, so dass ein Angreifer einem Opfer Dateien mit vorgeblich vertrauenswürdigen Endungen unterschieben kann. Wird eine solche Datei im Internet Explorer geöffnet, startet dies die ursprünglich zugewiesene Datei, was einem Angreifer zahlreiche Aktionen auf einem fremden Rechner erlaubt. So lässt sich etwa eine HTML-Datei als PDF-Datei tarnen, wobei die Ausführung der vermeintlichen PDF-Datei dann als HTML-Datei im Internet Explorer gestartet wird.

Microsoft bietet bisher keinen Patch gegen dieses Sicherheitsleck an, so dass man sich nur durch sorgsamen Umgang beim Öffnen von Dateien vor möglichen Angriffen schützen kann. Besonders das Beispiel der PDF-Dateien zeigt die davon ausgehende Gefahr, denn in der Standardeinstellung werden PDF-Dateien im Internet Explorer automatisch geöffnet, so dass man das Laden von PDF-Dateien kaum bemerkt. Zur Abhilfe sollte man derartige Dateien nicht direkt über den Internet Explorer öffnen, sondern diese Daten erst lokal speichern. Wird eine Datei mit gefälschter Endung dann ausgeführt, bemerkt der Windows Explorer den Fehler und startet die Datei nicht.


eye home zur Startseite
jana 05. Feb 2004

Welche Sicherheiten gibt es wirklich? Die Sicherheit von Gesundheit und Leben ist uns in...

Michael - alt 31. Jan 2004

Stimmt, aber da der Lehrsatz nach der Fehlerhaftigkeit von Software generell und überall...

Michael - alt 30. Jan 2004

die besser scheinen, weil deren fehler aufgrund deren unbedeutendheit schlicht nicht...

Michael - alt 30. Jan 2004

richtig, ein sicherheitsbewusster mensch benutzt den netscape 4.79



Anzeige

Stellenmarkt
  1. Faubel & Co. Nachf. GmbH, Melsungen
  2. Dataport, Hamburg
  3. IAV GmbH - Ingenieurgesellschaft Auto und Verkehr, Sindelfingen
  4. BODYCOTE Deutschland GmbH, Düsseldorf


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 69,99€
  3. (-15%) 25,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blackberry Key One im Hands on

    Android-Smartphone mit toller Hardware-Tastatur

  2. Deutschland

    Smartphone-Aufnahmen in Wahlkabinen werden verboten

  3. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  4. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  5. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM

  6. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  7. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  8. Autonomes Fahren

    Der Truck lernt beim Fahren

  9. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  10. Kursanstieg

    Bitcoin auf neuem Rekordhoch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

  1. Re: Wie löst man das Problem?

    fapo | 13:37

  2. Re: Und wie soll das kontrolliert werden?

    Reci | 13:35

  3. Re: sehr clever ... MS

    pk_erchner | 13:33

  4. Re: Sinn und Zweck?

    hoben | 13:29

  5. Re: An alle die den Grund für das Verbot nicht...

    Reci | 13:25


  1. 12:37

  2. 12:17

  3. 10:41

  4. 20:21

  5. 11:57

  6. 09:02

  7. 18:02

  8. 17:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel