Abo
  • Services:

Patch-Day: Sicherheitsloch im Internet Explorer bleibt offen

Patch für Microsofts ISA- und Proxy-Server erschienen

An Microsofts Patch-Day für den November 2004 lässt Microsoft - wie erwartet - das Anfang November 2004 entdeckte I-FRAME-Sicherheitsloch im Internet Explorer unberücksichtigt. Seit dem gestrigen 9. November 2004 verbreitet sich ein neuer MyDoom-Wurm über das Sicherheitsloch im Internet Explorer. Somit wird von Microsoft an diesem Patch-Day nur ein Update für den ISA- und Proxy-Server angeboten, der eine Spoofing-Sicherheitslücke schließt.

Artikel veröffentlicht am ,

In Microsofts Proxy Server 2.0 sowie im Internet Security and Acceleration Server (ISA-Server) 2000 steckt eine Sicherheitslücke, die für Spoofing-Angriffe missbraucht werden kann. Ein Fehler beim Zwischenspeichern von Ergebnissen des Reverse-Lookups führt dazu, dass ein Angreifer ein Opfer auf eine manipulierte Webseite schleusen kann, während das Opfer annimmt, auf vertrauenswürdige Inhalte zuzugreifen. Darüber lassen sich im schlimmsten Fall Zugangsdaten, Kennwörter oder andere vertrauliche Daten abfangen.

Stellenmarkt
  1. Visteon Electronics Germany GmbH, Karlsruhe
  2. Marc Cain GmbH, Bodelshausen

Im DNS stellt ein Reverse-Lookup einen Abfragevorgang dar, mit dem die IP-Adresse eines Hostcomputers nach seinem angezeigten DNS-Domänennamen durchsucht wird. Zur Ausnutzung dieser Sicherheitslücke muss ein Angreifer seine Opfer lediglich auf eine Webseite leiten, die einen Reverse-Lookup ausführen. Dabei legt der Proxy- und ISA-Server einen Cache an, worüber das geschilderte Angriffsszenario möglich wird. Deaktiviert man den DNS-Cache, indem dieser auf null gesetzt wird, kann das Sicherheitsrisiko umgangen werden. Ein Spoofing von SSL-Zertifikaten erlaubt das gefundene Sicherheitsloch nicht.

Microsoft bietet Patches für den Proxy Server 2.0 mit Service Pack 1 sowie für den ISA-Server 2000 mit Service Pack 1 oder 2 kostenlos zum Download an. Der ISA-Server 2004 ist von dem Sicherheitsloch nicht betroffen.

Da Microsoft am diesmonatigen Patch-Day die seit Anfang November 2004 entdeckte I-FRAME-Sicherheitslücke im Internet Explorer nicht geschlossen hat, wird man auf einen Patch nun wohl einen weiteren Monat warten müssen. Frühestens am 8. Dezember 2004 wird dann ein Patch für den Internet Explorer erwartet, um das Sicherheitsloch zu schließen, über das sich eine neue Variante des MyDoom-Wurms seit dem gestrigen 9. November 2004 stark verbreitet.



Anzeige
Blu-ray-Angebote
  1. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  2. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)
  3. (2 Monate Sky Ticket für nur 4,99€)
  4. (u. a. Deadpool, Alien Covenant, Assassins Creed)

james 11. Nov 2004

IE6aufsatz MAXTHON schliesst die iFrame lücke selbst , siehe http://www.winfuture.de...

c.b. 10. Nov 2004

Mahlzeit... Na Klasse, hier zeigen sich, und zwar allesamt, die wahren Profis mit ihren...

RTD 10. Nov 2004

lol

javanse 10. Nov 2004

is klar, meinst du deppen die IE nutzen wissen was eine firewall/contentfilter ist? mit...

javanse 10. Nov 2004

nutzer wie du sind das problem....denen ist alles scheissegal, hauptsache die pr0n_seite...


Folgen Sie uns
       


Intel NUC8 - Test

Winzig und kraftvoll: der NUC8 alias Hades Canyon.

Intel NUC8 - Test Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /