Abo
  • IT-Karriere:

IE-Sicherheitsloch umgeht SP2-Sicherheitsfunktion

Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien

Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.

Artikel veröffentlicht am ,

Mit dem Windows XP Service Pack 2 wurde eine Sicherheitsfunktion in das Betriebssystem integriert, die den Nutzer warnt, sobald Daten mit einer bestimmten Dateiendung mit dem Internet Explorer herunter geladen werden. Dieser Warnhinweis erscheint aber nicht immer, wenn die betreffende Datei über einen speziell formatierten "Content-Location"-HTTP-Header versendet wird. Wird dieser Fehler mit der JavaScript-Funktion "execCommand()" kombiniert, lassen sich ausführbare Programmdateien als HTML-Dateien tarnen.

Stellenmarkt
  1. LEW Service & Consulting GmbH, Augsburg
  2. 3Tec automation GmbH u. Co. KG, Herford, Bielefeld

Angreifer könnten so ihre Opfer dazu bringen, Programmcode auf den eigenen Rechner zu laden, der sich als vermeintlicher HTML-Code ausgibt. Wird diese angebliche HTML-Datei dann ausgeführt, startet sich stattdessen eine ausführbare Programmdatei, was einem Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte. Zur Ausnutzung des Sicherheitslochs muss das Opfer die standardmäßig aktivierte Option "Erweiterungen bei bekannten Dateitypen ausblenden" selektiert haben.

Das Sicherheitsloch wurde für den Internet Explorer 6.0 unter dem Windows XP Service Pack 2 mit allen verfügbaren Patches bestätigt.



Anzeige
Spiele-Angebote
  1. 2,49€
  2. 19,99€
  3. 2,49€

sho 28. Nov 2004

Hihi, lustig hier... wer von Euch weiß, wie man ein kostenloses (!!!) linux zum...

Bibbl 18. Nov 2004

Dass ihr auch alle an allem vorbeiredet... Es geht hier um die eBay Suche im Firefox...

Alex 18. Nov 2004

Ach Leute, wenn ich das hier wiedr alles lese - der reinste Browser-War und nur Flames...

fischkuchen 18. Nov 2004

Obwohl... Mist, das geht ja auch unter Linux ;) Oder liegt das an KDE?

MS-Admin 18. Nov 2004

was "spyt" der denn so? Du redest Müll


Folgen Sie uns
       


Linux für Gaming installieren - Tutorial

Die Linux-Distribution Manjaro eignet sich gut für Spiele - wir erklären im Video wie man sie installiert.

Linux für Gaming installieren - Tutorial Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
    Ocean Discovery X Prize
    Autonome Fraunhofer-Roboter erforschen die Tiefsee

    Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
    Ein Bericht von Werner Pluta

    1. JAB Code Bunter Barcode gegen Fälschungen

    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


        •  /