Patch-Day: Drei schwere Internet-Explorer-Sicherheitslöcher
Ein Großteil der Sicherheitsleck bereits mit Windows XP SP2 behoben
Neben der Vielzahl an Sicherheits-Patches für verschiedene Windows-Systeme veröffentlicht Microsoft am Oktober-2004-Patch-Day auch einen Patch für den Internet Explorer 5.x und 6.x, womit insgesamt acht Sicherheitslöcher behoben werden, wovon drei zur Ausführung beliebigen Programmcodes genutzt werden können und somit als sehr gefährlich einzustufen sind.
Was bereits zu den zeitgleich veröffentlichten Patches für die Windows-Sicherheitslücken gilt, trifft auch für die Lecks im Internet Explorer zu: Mit dem Service Pack 2 (SP2) für Windows XP sind die meisten Löcher bereits gestopft und Microsoft hat mehr als zwei Monate gewartet, diese schweren Sicherheitslücken auch auf anderen Plattformen zu bereinigen. Für alle hier aufgelisteten Sicherheitslöcher genügt bereits der Aufruf einer präparierten Webseite oder das Öffnen einer HTML-E-Mail, um Opfer einer Attacke zu werden.
Drei der insgesamt acht Sicherheitslöcher im Internet Explorer erlauben einem Angreifer die Ausführung von Programmcode und somit eine umfassende Kontrolle über ein fremdes System. Ein Sicherheitsloch wird durch einen Buffer Overrun in der CSS-Verarbeitung verursacht, ein weiteres Leck betrifft das Domain-Sicherheitsmodell, während die dritte Sicherheitslücke in der Installationsroutine für Active-Setup-Dateien steckt.
Zwei Sicherheitslücken im Internet Explorer gestatten die Ausweitung von Rechten und verschaffen Angreifern somit ebenfalls eine weit reichende Kontrolle über fremde Systeme. Ein Fehler tritt bei der Verarbeitung von Drag-and-Drop-Operationen auf (gilt auch für Windows XP SP2), während die andere Lücke im Bild-Tag des Internet Explorer steckt.
Schließlich lassen sich drei weitere Sicherheitslücken im Internet Explorer für Spoofing-Attacken missbrauchen, um Opfer in den Irrglauben zu versetzen, sie würden eine andere Webseite aufrufen als die Anzeige in der Adressleiste suggeriert. Darüber könnten sich Angreifer Zugang zu vertraulichen Daten wie etwa Konto- oder Kreditkartendaten erschleichen.
Die Sicherheitslücken stecken in der Komponente zur Verarbeitung von SSL-geschützten Webseiten und in der Navigation von Plug-Ins, was jedoch nicht für den Internet Explorer 5.01 gilt, wenn mindestens das Service Pack 3 für den Browser installiert wurde. Dies gilt auch für das dritte Sicherheitsloch, das auch der Internet Explorer 5.5 mit Service Pack 2 nicht kennt und nur beim Einsatz asiatischer Schriftzeichen zum Tragen kommt.
Patches zur Bereinigung der genannten Sicherheitslücken stehen ab sofort für den Internet Explorer 5.x sowie für den Internet Explorer 6.x zum Download bereit.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Bei mir ist erst gar keiner drauf!! Schöne Windowswelt..... so long
Solltest trotzdem deinen IE patchen. Gruß Marlon
Der IE findet bei mir nur noch als Standardbrowser Anwendung bei MS-Links. ;)