IE-Sicherheitsloch umgeht SP2-Sicherheitsfunktion

Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien

Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.

Artikel veröffentlicht am ,

Mit dem Windows XP Service Pack 2 wurde eine Sicherheitsfunktion in das Betriebssystem integriert, die den Nutzer warnt, sobald Daten mit einer bestimmten Dateiendung mit dem Internet Explorer herunter geladen werden. Dieser Warnhinweis erscheint aber nicht immer, wenn die betreffende Datei über einen speziell formatierten "Content-Location"-HTTP-Header versendet wird. Wird dieser Fehler mit der JavaScript-Funktion "execCommand()" kombiniert, lassen sich ausführbare Programmdateien als HTML-Dateien tarnen.

Stellenmarkt
  1. Senior Shopware Entwickler (m/w/d)
    BUCS IT GmbH, Wuppertal
  2. Senior Mobile Developer (m/f/d)
    IDnow GmbH, Düsseldorf, deutschlandweit (Home-Office)
Detailsuche

Angreifer könnten so ihre Opfer dazu bringen, Programmcode auf den eigenen Rechner zu laden, der sich als vermeintlicher HTML-Code ausgibt. Wird diese angebliche HTML-Datei dann ausgeführt, startet sich stattdessen eine ausführbare Programmdatei, was einem Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen könnte. Zur Ausnutzung des Sicherheitslochs muss das Opfer die standardmäßig aktivierte Option "Erweiterungen bei bekannten Dateitypen ausblenden" selektiert haben.

Das Sicherheitsloch wurde für den Internet Explorer 6.0 unter dem Windows XP Service Pack 2 mit allen verfügbaren Patches bestätigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


sho 28. Nov 2004

Hihi, lustig hier... wer von Euch weiß, wie man ein kostenloses (!!!) linux zum...

Bibbl 18. Nov 2004

Dass ihr auch alle an allem vorbeiredet... Es geht hier um die eBay Suche im Firefox...

Alex 18. Nov 2004

Ach Leute, wenn ich das hier wiedr alles lese - der reinste Browser-War und nur Flames...

fischkuchen 18. Nov 2004

Obwohl... Mist, das geht ja auch unter Linux ;) Oder liegt das an KDE?

MS-Admin 18. Nov 2004

was "spyt" der denn so? Du redest Müll



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /