Abo
  • IT-Karriere:

Schwere Sicherheitslöcher im aktuellen Internet Explorer

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2

Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Artikel veröffentlicht am ,

Wie http-equiv herausfand, werden Drag-and-Drop-Operationen immer noch nicht ausreichend genug geprüft, obwohl Microsoft erst vor einer Woche am 13. Oktober 2004 einen Patch veröffentlicht hat. Damit sollte die im August 2004 bekannt gewordene und ebenfalls von http-equiv entdeckte Drag-and-Drop-Sicherheitslücke eigentlich geschlossen werden.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Techniker Krankenkasse, Hamburg

Dennoch lassen sich Drag-and-Drop-Operationen von der Internet-Zone auf den lokalen Rechner weiterhin von Angreifern ausnutzen. Der Internet Explorer prüft in Webseiten eingebundene Bilder- und Multimediadateien nicht korrekt, so dass ein Angreifer über eine präparierte HTML-Seite beliebigen Active-Scripting-Code in der "lokalen Zone" des Internet Explorer auf einem fremden Rechner laufen lassen kann. Darüber ließen sich zahlreiche Aktionen auf einem fremden System ausführen, um so eine weit reichende Kontrolle darüber zu erlangen.

Mit dem Service Pack 2 für Windows XP hat Microsoft das Ausführen von Active Scripting in der lokalen Zone des Internet Explorer unterbunden, um so eine Vielzahl von möglichen Angriffsszenarien im Vorfeld zu unterbinden. Daher lässt sich das oben genannte Sicherheitsloch auch nicht ohne weiteres auf Systemen ausnutzen, auf denen das Service Pack 2 für Windows XP installiert ist.

Allerdings umgeht das zweite von http-equiv entdeckte Sicherheitsloch diese mit dem Service Pack 2 eingeführte Schranke, so dass das erste Sicherheitsloch dadurch auch auf Systemen mit installiertem Service Pack 2 zuschlagen kann. Im Zusammenspiel mit einem HTML-Help-Control lässt sich das Sicherheitszonenmodell im Internet Explorer umgehen. Dazu muss ein HTML-Help-Control auf eine präparierte Index-Datei (.hhk) verweisen und schon lassen sich auf lokaler Ebene beliebige HTML-Dokumente ausführen.

Auch vor diesen beiden Sicherheitslöchern kann man sich schützen, indem man ActiveScripting im Internet Explorer deaktiviert oder eben auf einen anderen Browser ausweicht. Microsoft bietet bislang keinen Patch zur Abhilfe an.



Anzeige
Spiele-Angebote
  1. (-55%) 8,99€
  2. 2,99€
  3. 4,34€
  4. 3,74€

Keldorn 18. Nov 2004

irgendwie ist das schon eine merkwürdige sache mit den sicherheitslöchern, egal ob es ein...

:-) 24. Okt 2004

...das mit der "einen" fehlenden Richtung mag ich noch einsehen... :-) Vielleicht ist...

r=2gm/c^2 22. Okt 2004

Achja? Dabei weiß doch _jeder_: Gott ist in Bielefeld. Schon immer gewesen.

Safari-User 22. Okt 2004

Ein Auto, das einen Plattfuß hat, läuft auch weiter (auf den Felgen *g* Wenn der IE so...

Robert 22. Okt 2004

es muss eine Richtung geben, jedenfalls für den der das Licht sieht, gesehen hat, sehen...


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Indiegames-Rundschau: Von Bananen und Astronauten
Indiegames-Rundschau
Von Bananen und Astronauten

In Outer Wilds erlebt ein Astronaut in Murmeltier-Manier das immer gleiche Abenteuer, in My Friend Pedro tötet ein maskierter Auftragskiller im Auftrag einer Banane, dazu gibt es Horror von Lovecraft: Golem.de stellt die Indiegames-Highlights des Sommers vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  2. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter
  3. Indiegames-Rundschau Zwischen Fließband und Wanderlust

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

    •  /