Internet Explorer bleibt ein Sicherheitsrisiko

Abschaltung des Adodb.stream-Objektes nicht ausreichend. Auf der Sicherheits-Mailingliste Full Disclosure weisen mehrere Experten übereinstimmend darauf hin, dass die von Microsoft in Form eines Patches kürzlich bereitgestellte Umkonfiguration des Internet Explorer den Browser kaum sicherer gemacht habe. Mit der Abschaltung des Adodb.stream-Objektes wurde nur eine Unsicherheit im Browser behoben; Funktionen mit ähnlichen Möglichkeiten stünden weiterhin im Internet Explorer bereit.

6. Juli 2004 um 10:36 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Am 2. Juli 2004 veröffentlichte Microsoft einen Patch , der den Internet Explorer umkonfiguriert und so sicherer machen soll. Durch die Abschaltung des Adodb.stream-Objektes lassen sich darüber keine Dateien mehr auf fremde Systeme schleusen und auch keine Daten mehr auslesen. Das Objekt wurde von Angreifern genutzt, um mit Hilfe anderer Sicherheitslöcher Zugriff auf fremde Systeme zu erlangen.

Nun weisen die Sicherheitsexperten auf Full Disclosure darauf hin, dass es zusätzlich zum Adodb.stream-Objekt weitere Möglichkeiten gibt, mit anderen Funktionen im Internet Explorer Programmcode auf ein System zu laden. Diese ließen sich ebenfalls mit anderen Sicherheitslücken kombinieren, um so etwa Programmcode auf fremde Systeme zu schleusen. Der Hinweis verdeutlicht, dass die in der Architektur des Internet Explorer begründete Unsicherheit des Browsers auch nach der Umkonfiguration durch Microsoft fortbesteht.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Wir können auch anders: Microsoft patcht Internet Explorer

Patch deaktiviert ein beständiges Sicherheitsrisiko im Internet Explorer. Ungewöhnlich offensiv kommuniziert Microsoft per Pressemitteilung eine als Patch erschienene Modifikation für den Internet Explorer, wodurch eine zentrale Browser-Funktion deaktiviert wird. Damit schlägt Redmond einen neuen Weg ein, indem ein im Browser schlummerndes Sicherheitsrisiko abgeschaltet und entsprechenden Angriffen der Nährboden entzogen wird, anstatt wie bisher üblich neu gefundene Sicherheitslücken mit jeweils anderen Patches zu beheben.

Cross-Domain-Sicherheitslücke in fast allen Browsern

Netscape, Mozilla, Firefox, Opera, Safari, Konqueror und IE betroffen. Nach einem Beitrag auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

Internet Explorer: Patch me if you can

IE hat Probleme mit SSL-Seiten; zweite Nachbesserung des IE-Sicherheits-Patches. Wie ein aktueller Knowledge-Base-Artikel auf Microsofts Webseiten zu berichten weiß, hat ein aktueller Internet Explorer 6 Probleme mit SSL-Seiten. Das Problem soll nur den Internet Explorer 6 betreffen, sofern der Anfang Februar 2004 erschienene Sicherheits-Patch für den Browser eingespielt wurde. Damit muss Microsoft den betreffenden Patch bereits das zweite Mal nachbessern.

Relevante Themen