Abo
  • IT-Karriere:

Endlich Patch gegen IFRAME-Loch im Internet Explorer 6.0

Microsoft verlegt Patch-Day für den Dezember 2004 vor

Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.

Artikel veröffentlicht am ,

Auf Grund des Sicherheitslochs im Internet Explorer 6.0 werden Attribute im IFRAME-HTML-Tag nicht korrekt verarbeitet, was einen Buffer Overflow verursacht. Darüber kann ein Angreifer schadhaften Programmcode ausführen und sich so eine weit reichende Kontrolle über fremde Systeme verschaffen. Opfer müssen nur dazu gebracht werden, eine entsprechend präparierte Webseite oder HTML-E-Mail zu öffnen.

Stellenmarkt
  1. operational services GmbH & Co. KG, Braunschweig
  2. Erwin Hymer Group SE, Bad Waldsee

Als das IFRAME-Sicherheitsloch bekannt wurde, existierte bereits ein Exploit für den Internet Explorer 6.0 und nicht mal eine Woche später tauchte der Bofra-Wurm auf, der zunächst als MyDoom-Variante identifiziert wurde und sich die Sicherheitslücke zunutze machte. Weniger als zwei Wochen später konnten Hacker den Wurm-Code in Ad-Server einschleusen, so dass einige seriöse Webseiten den Bofra-Wurm an Webseitenbesucher auslieferten und sich diese mit dem Schädling infizierten.

Überraschend hat Microsoft nun den Patch-Day für den Monat Dezember 2004 vorverlegt und einen Patch gegen das IFRAME-Sicherheitsloch veröffentlicht, das Redmond als kritisch einstuft. Damit hat Microsoft erstmals seit der neu verkündeten Sicherheitsstrategie einen Patch für ein gefährliches Sicherheitsloch außerhalb des normalen monatlichen Patch-Days veröffentlicht, obgleich zahlreiche frühere Patches von Microsoft selbst als bedrohlich eingestuft wurden. Eigentlich sollte der Patch-Day erst am 14. Dezember 2004 stattfinden.

Von dem Sicherheitsleck ist der Internet Explorer 6.0 betroffen, nicht aber frühere Versionen des Browsers. Nicht betroffen sind Systeme mit dem Service Pack 2 für Windows XP, Windows XP in der 64-Bit-Version sowie der Windows Server 2003 in der 32- und 64-Bit-Ausführung, weil das Sicherheitsloch in diesen Versionen des Internet Explorer bereits behoben wurden, ohne dass Microsoft das bisher kundgetan hatte.

Die Patches für den Internet Explorer 6.0 stehen ab sofort per Windows Update oder über das entsprechende Security Bulletin zum Download bereit. Microsoft bietet derzeit Patches für Windows NT 4.0, 2000 und XP an, während Patches für die ebenfalls betroffenen Fassungen von Windows 98, 98SE und Millennium erst zu einem späteren Zeitpunkt veröffentlicht werden sollen. Da Microsoft das Sicherheitsleck als gefährlich einstuft, empfiehlt der Hersteller, den Sicherheits-Patch so schnell wie möglich zu installieren.



Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 25. Oktober)
  2. (-78%) 2,20€
  3. 3,99€
  4. 0,49€

Affen@gruß.de 04. Dez 2004

Mancher hat ja mit "deutsch" nichts mehr am Hut! AffenGrußAnAlleFans

backslash 03. Dez 2004

Wenn man HTML nur für den IE "optimiert" ist dass das eigentliche Problem. Würde sich ein...

Roman Laubinger 03. Dez 2004

ACK. Wenn ich ständig den Patches hinterherlaufen muß, habe ich sowieso schlechte...

Roman Laubinger 03. Dez 2004

Würdest Du das argumentativ untermauern, oder möchtest Du nur rumtrollen? Tschüss Roman...

Roman Laubinger 03. Dez 2004

ACK. NACK. Admins im professionellen Einsatz müssen sowieso die Sicherheitsnews im Auge...


Folgen Sie uns
       


Nokia 2720 Flip - Hands on

Mit dem Nokia 2720 Flip hat HMD Global ein neues Klapphandy vorgestellt. Dank dem Betriebssystem KaiOS lassen sich auch Apps wie Google Maps oder Whatsapp verwenden.

Nokia 2720 Flip - Hands on Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

    •  /