Abo
  • Services:
Anzeige

Schwere Sicherheitslöcher im aktuellen Internet Explorer

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2

Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Wie http-equiv herausfand, werden Drag-and-Drop-Operationen immer noch nicht ausreichend genug geprüft, obwohl Microsoft erst vor einer Woche am 13. Oktober 2004 einen Patch veröffentlicht hat. Damit sollte die im August 2004 bekannt gewordene und ebenfalls von http-equiv entdeckte Drag-and-Drop-Sicherheitslücke eigentlich geschlossen werden.

Anzeige

Dennoch lassen sich Drag-and-Drop-Operationen von der Internet-Zone auf den lokalen Rechner weiterhin von Angreifern ausnutzen. Der Internet Explorer prüft in Webseiten eingebundene Bilder- und Multimediadateien nicht korrekt, so dass ein Angreifer über eine präparierte HTML-Seite beliebigen Active-Scripting-Code in der "lokalen Zone" des Internet Explorer auf einem fremden Rechner laufen lassen kann. Darüber ließen sich zahlreiche Aktionen auf einem fremden System ausführen, um so eine weit reichende Kontrolle darüber zu erlangen.

Mit dem Service Pack 2 für Windows XP hat Microsoft das Ausführen von Active Scripting in der lokalen Zone des Internet Explorer unterbunden, um so eine Vielzahl von möglichen Angriffsszenarien im Vorfeld zu unterbinden. Daher lässt sich das oben genannte Sicherheitsloch auch nicht ohne weiteres auf Systemen ausnutzen, auf denen das Service Pack 2 für Windows XP installiert ist.

Allerdings umgeht das zweite von http-equiv entdeckte Sicherheitsloch diese mit dem Service Pack 2 eingeführte Schranke, so dass das erste Sicherheitsloch dadurch auch auf Systemen mit installiertem Service Pack 2 zuschlagen kann. Im Zusammenspiel mit einem HTML-Help-Control lässt sich das Sicherheitszonenmodell im Internet Explorer umgehen. Dazu muss ein HTML-Help-Control auf eine präparierte Index-Datei (.hhk) verweisen und schon lassen sich auf lokaler Ebene beliebige HTML-Dokumente ausführen.

Auch vor diesen beiden Sicherheitslöchern kann man sich schützen, indem man ActiveScripting im Internet Explorer deaktiviert oder eben auf einen anderen Browser ausweicht. Microsoft bietet bislang keinen Patch zur Abhilfe an.


eye home zur Startseite
Keldorn 18. Nov 2004

irgendwie ist das schon eine merkwürdige sache mit den sicherheitslöchern, egal ob es ein...

:-) 24. Okt 2004

...das mit der "einen" fehlenden Richtung mag ich noch einsehen... :-) Vielleicht ist...

r=2gm/c^2 22. Okt 2004

Achja? Dabei weiß doch _jeder_: Gott ist in Bielefeld. Schon immer gewesen.

Safari-User 22. Okt 2004

Ein Auto, das einen Plattfuß hat, läuft auch weiter (auf den Felgen *g* Wenn der IE so...

Robert 22. Okt 2004

es muss eine Richtung geben, jedenfalls für den der das Licht sieht, gesehen hat, sehen...



Anzeige

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. DAL Deutsche Anlagen-Leasing GmbH & Co. KG, Mainz
  3. SAACKE GmbH, Bremen
  4. OEDIV KG, Bielefeld


Anzeige
Blu-ray-Angebote
  1. 79,98€ (Vorbesteller-Preisgarantie)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. SuperSignal

    Vodafone Deutschland schaltet Smart-Cells ab

  2. Top Gun 3D

    Mit VR-Headset kostenlos ins Kino

  3. Übernahme

    Marvell kauft Cavium für 6 Milliarden US-Dollar

  4. Wilhelm.tel

    Weiterer Kabelnetzbetreiber schaltet Analog-TV ab

  5. Grafiktreiber

    AMDs Display-Code in Linux-Kernel aufgenommen

  6. Oneplus 5T im Test

    Praktische Änderungen ohne Preiserhöhung

  7. Vito, Sprinter, Citan

    Mercedes bringt Lieferwagen als Elektrofahrzeuge heraus

  8. JoltandBleed

    Oracle veröffentlicht Notfallpatch für Universitäts-Software

  9. Medion Akoya P56000

    Aldi-PC mit Ryzen 5 und RX 560D kostet 600 Euro

  10. The Update Aquatic

    Minecraft bekommt Klötzchendelfine



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. Mobilitätsprojekt Ioki Bahn macht Sammeltaxi zum autonomen On-Demand-Shuttle

  1. Re: Schäbiges Kalkül

    teenriot* | 20:00

  2. Falsch beantwortete Fragen?

    JouMxyzptlk | 19:59

  3. Re: Die Frage nach "Wie wird man den eGold wieder...

    VigarLunaris | 19:57

  4. Re: Alle wissen es besser

    DesertEvil | 19:57

  5. Wie gehts eigentlich der Java Version?

    Noren | 19:53


  1. 17:26

  2. 17:02

  3. 16:21

  4. 15:59

  5. 15:28

  6. 15:00

  7. 13:46

  8. 12:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel