Drag-&-Drop-Lücke im Internet Explorer wird ausgenutzt

Angreifer schleusen Programmcode mit Drag-and-Drop-Operation ein. Wie das Internet Storm Center(öffnet im neuen Fenster) zu berichten weiß, wird das jüngst entdeckte Drag-and-Drop-Sicherheitsloch im Internet Explorer anscheinend bereits von Angreifern ausgenutzt. Nähere Details zu diesen Angriffsszenarien wurden allerdings nicht genannt, so dass der mögliche Schaden nicht bekannt ist.

25. August 2004 um 13:21 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Drag-and-Drop-Operationen werden im Internet Explorer unzureichend geprüft, wenn etwa Daten von der Internet-Zone auf den lokalen Rechner geschoben werden. Ein Angreifer kann über die vor rund einer Woche entdeckte Sicherheitslücke eine Programmdatei als Bilddatei tarnen und Anwender so per Drag-and-Drop zum Herunterladen bringen. Diese Programmdatei würde dann unbemerkt im Autostart-Ordner von Windows abgelegt und beim nächsten Rechnerneustart geladen werden.

Wie die US-Seite BetaNews.com(öffnet im neuen Fenster) von Microsoft erfahren hat, stuft Redmond die Gefahr durch diese Sicherheitslücke als gering ein. Vor dem jetzigen Bekanntwerden über die Ausnutzung der Lücke gab sich Microsoft zuversichtlich, dass das Sicherheitsloch keine große Gefahr für ihre Kunden darstelle, da es eine Interaktion des Anwenders bedarf.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Administrator (m/w/d) SEEHAFEN KIEL GmbH & Co. KG, Kiel (öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

Project Manager MEDIONmobile (m/w/d) Medion AG, Essen (öffnet im neuen Fenster)

Anwendungsentwickler IT-Security / Kryptographie (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Hannover (öffnet im neuen Fenster)

Werkstudent (m/w/d) Technical Operations Card4Vend GmbH, Kassel (öffnet im neuen Fenster)

Anwendungsberater im Innendienst (m/w/d) IN-Software GmbH, Karlsbad bei Karlsruhe (öffnet im neuen Fenster)

IT-Administrator (m/w/d) Gynemed GmbH & Co. KG, Schashagen (öffnet im neuen Fenster)

Infrastruktur- und Datenarchitekt (m/w/d) Bonn-Netz GmbH, Bonn (öffnet im neuen Fenster)

Zur Abhilfe sollte auf den Einsatz von Drag-and-Drop verzichtet oder ActiveScripting deaktiviert werden. Alternativ kann auch ein anderer Browser verwendet werden. Die Sicherheitslücke wurde für den Internet Explorer 6 unter Windows XP mit Service Pack 1 und auch 2 bestätigt.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Microsoft aktualisiert Sicherheits-Patch

Aktualisierung von Windows XP über Windows Update 5.0 funktionierte nicht. Bei der Bereitstellung des Sicherheits-Patches für den Internet Explorer vom 30. Juli 2004 ist Microsoft ein kleiner Fehler unterlaufen, bei dem das neue Windows Update 5.0 im Zusammenspiel mit Windows XP nicht mit dem aktuellen Sicherheits-Patch bestückt wurde. Dieser Fehler wurde nun bereinigt, so dass der Sicherheits-Patch auch darüber zum Download bereit steht.

Microsoft stopft drei kritische Sicherheitslücken

Kritische Sicherheitsupdates außer der Reihe. Außer der Reihe der üblichen vierwöchigen Sicherheitsupdates hat Microsoft am Abend des 30. Juli 2004 drei Sicherheitsupdates für kritische Sicherheitslücken im Internet Explorer veröffentlicht, darunter auch für die als Download.Ject bekannt gewordene Sicherheitslücke.

Relevante Themen