Endlich: Microsoft stopft aktuelle IE-Sicherheitslöcher
Der aktuelle Patch für den Internet Explorer bereinigt die Anfang Dezember 2003 bekannt gewordene Verschleierung von Web-Adressen , worüber ein Angreifer einen Anwender dazu bringen konnte, sensitive Daten an eine bösartige Webseite zu übermitteln. Das Opfer wird in den Glauben versetzt, diese Daten an eine vertrauenswürdige Seite zu senden, denn statt der wahren URL zeigt der Browser in der Adresszeile eine vom Angreifer auszuwählende gefälschte Webseitenadresse an. Wie bereits Ende Januar 2004 bekannt wurde, deaktiviert Microsoft mit dem aktuellen Patch das Einbinden von Nutzername und Kennwort in URLs. Ungewöhnlich daran ist, dass andere Web-Browser Nutzername und Passwort in URLs einbinden können, ohne von diesem Sicherheitsleck betroffen zu sein.
Als Weiteres bereinigt der Sammel-Patch die seit November 2003 bekannten Sicherheitslöcher im Internet Explorer, die es einem Angreifer ermöglichen, über eine Lücke im Sicherheitszonen-Modell des Browsers Programmcode auf ein fremdes System zu schleusen und mit den Rechten des angemeldeten Nutzers auszuführen. Das Zonen-Modell im Internet Explorer soll eigentlich gewährleisten, dass Browser-Fenster unterschiedlicher Domains Informationen nicht gemeinsam nutzen dürfen. Eine Sicherheitslücke erlaubt jedoch die Umgehung dieser Restriktionen, um Daten auf dem PC einzusehen, Informationen von anderen Webseiten zu betrachten oder auch Script-Code in der lokalen Zone des Rechners mit den Rechten des angemeldeten Nutzers auszuführen.
Über ein drittes Sicherheitsleck im Internet Explorer kann ein Angreifer Programmcode auf ein fremdes System über den Aufruf einer DHTML-Seite einschleusen, da beim Öffnen eines Links eine Datei auf den Rechner des Opfers geladen werden kann, ohne dass der Download vom Anwender bestätigt werden muss. Über das Sicherheitsleck lässt sich zwar kein Programmcode auf einem fremden System ausführen, allerdings wäre das über andere Sicherheitslücken möglich, so dass auch von diesem Sicherheitsleck ein entsprechend hohes Gefährdungspotenzial ausgeht.
Alle hier beschriebenen Sicherheitslecks im Internet Explorer betreffen auch E-Mail-Clients, welche den Internet Explorer zur Anzeige von HTML-E-Mails verwenden, da man auch darüber Opfer entsprechender Angriffe werden kann. Man muss also nicht zwingend eine Webseite besuchen, um solchen Attacken ausgesetzt zu sein, sondern es kann schon genügen, eine entsprechend formatierte HTML-E-Mail zu öffnen. Microsoft stuft alle Sicherheitslücken im Internet Explorer als kritisch ein.
Für das am 29. Januar 2004 bekannt gewordene Sicherheitsleck im Internet Explorer wurde bislang kein Patch angeboten, was auch für die wenige Tage vorher entdeckte Sicherheitslücke in Windows XP gilt. Beide Sicherheitslecks erlauben es einem Angreifer, die Dateiendung einer Datei zu fälschen, um darüber das Opfer dazu zu bringen, vermeintlich ungefährliche Dateiarten zu öffnen, die sich dann als ausführbarer Code entpuppen können.
Über ein bereits in deutscher Sprache vorliegendes Security Bulletin(öffnet im neuen Fenster) bietet Microsoft entsprechende deutschsprachige Patches für den Internet Explorer 5.01 mit Service Pack 2, 3 oder 4, den Internet Explorer 5.5 mit Service Pack 2 sowie den Internet Explorer 6 mit oder ohne Service Pack 1 zum Download an.