Abo
  • Services:

Schwere Sicherheitslöcher im aktuellen Internet Explorer

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2

Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Artikel veröffentlicht am ,

Wie http-equiv herausfand, werden Drag-and-Drop-Operationen immer noch nicht ausreichend genug geprüft, obwohl Microsoft erst vor einer Woche am 13. Oktober 2004 einen Patch veröffentlicht hat. Damit sollte die im August 2004 bekannt gewordene und ebenfalls von http-equiv entdeckte Drag-and-Drop-Sicherheitslücke eigentlich geschlossen werden.

Stellenmarkt
  1. Hays AG, Raum Frankfurt am Main
  2. TÜV NORD AG, Essen (Oldenburg)

Dennoch lassen sich Drag-and-Drop-Operationen von der Internet-Zone auf den lokalen Rechner weiterhin von Angreifern ausnutzen. Der Internet Explorer prüft in Webseiten eingebundene Bilder- und Multimediadateien nicht korrekt, so dass ein Angreifer über eine präparierte HTML-Seite beliebigen Active-Scripting-Code in der "lokalen Zone" des Internet Explorer auf einem fremden Rechner laufen lassen kann. Darüber ließen sich zahlreiche Aktionen auf einem fremden System ausführen, um so eine weit reichende Kontrolle darüber zu erlangen.

Mit dem Service Pack 2 für Windows XP hat Microsoft das Ausführen von Active Scripting in der lokalen Zone des Internet Explorer unterbunden, um so eine Vielzahl von möglichen Angriffsszenarien im Vorfeld zu unterbinden. Daher lässt sich das oben genannte Sicherheitsloch auch nicht ohne weiteres auf Systemen ausnutzen, auf denen das Service Pack 2 für Windows XP installiert ist.

Allerdings umgeht das zweite von http-equiv entdeckte Sicherheitsloch diese mit dem Service Pack 2 eingeführte Schranke, so dass das erste Sicherheitsloch dadurch auch auf Systemen mit installiertem Service Pack 2 zuschlagen kann. Im Zusammenspiel mit einem HTML-Help-Control lässt sich das Sicherheitszonenmodell im Internet Explorer umgehen. Dazu muss ein HTML-Help-Control auf eine präparierte Index-Datei (.hhk) verweisen und schon lassen sich auf lokaler Ebene beliebige HTML-Dokumente ausführen.

Auch vor diesen beiden Sicherheitslöchern kann man sich schützen, indem man ActiveScripting im Internet Explorer deaktiviert oder eben auf einen anderen Browser ausweicht. Microsoft bietet bislang keinen Patch zur Abhilfe an.



Anzeige
Spiele-Angebote
  1. 59,99€
  2. 19,99€
  3. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  4. 59,49€

Keldorn 18. Nov 2004

irgendwie ist das schon eine merkwürdige sache mit den sicherheitslöchern, egal ob es ein...

:-) 24. Okt 2004

...das mit der "einen" fehlenden Richtung mag ich noch einsehen... :-) Vielleicht ist...

r=2gm/c^2 22. Okt 2004

Achja? Dabei weiß doch _jeder_: Gott ist in Bielefeld. Schon immer gewesen.

Safari-User 22. Okt 2004

Ein Auto, das einen Plattfuß hat, läuft auch weiter (auf den Felgen *g* Wenn der IE so...

Robert 22. Okt 2004

es muss eine Richtung geben, jedenfalls für den der das Licht sieht, gesehen hat, sehen...


Folgen Sie uns
       


Oculus Go - Test

Virtual Reality für 220 Euro? Oculus Go überzeugt im Test.

Oculus Go - Test Video aufrufen
Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
Indiegames-Rundschau
Kampfkrieger und Abenteuer in 1001 Nacht

Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
  2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte

Pillars of Eternity 2 im Test: Fantasy unter Palmen
Pillars of Eternity 2 im Test
Fantasy unter Palmen

Ein klassisches PC-Rollenspiel in der Art von Baldur's Gate, aber in einem karibisch angehauchten Szenario mit Piraten und Segelschiffen: Pillars of Eternity 2 entpuppt sich im Test als spannendes Abenteuer mit viel Flair.
Ein Test von Peter Steinlechner


      •  /