Endlich Patch gegen IFRAME-Loch im Internet Explorer 6.0

Microsoft verlegt Patch-Day für den Dezember 2004 vor

Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.

Artikel veröffentlicht am ,

Auf Grund des Sicherheitslochs im Internet Explorer 6.0 werden Attribute im IFRAME-HTML-Tag nicht korrekt verarbeitet, was einen Buffer Overflow verursacht. Darüber kann ein Angreifer schadhaften Programmcode ausführen und sich so eine weit reichende Kontrolle über fremde Systeme verschaffen. Opfer müssen nur dazu gebracht werden, eine entsprechend präparierte Webseite oder HTML-E-Mail zu öffnen.

Stellenmarkt
  1. Key User ERP (m/w/d)
    Hays AG, Kempten
  2. Spezialist*in als Digitalisierungspartner*in im Landesbüro
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Kiew (Ukraine)
Detailsuche

Als das IFRAME-Sicherheitsloch bekannt wurde, existierte bereits ein Exploit für den Internet Explorer 6.0 und nicht mal eine Woche später tauchte der Bofra-Wurm auf, der zunächst als MyDoom-Variante identifiziert wurde und sich die Sicherheitslücke zunutze machte. Weniger als zwei Wochen später konnten Hacker den Wurm-Code in Ad-Server einschleusen, so dass einige seriöse Webseiten den Bofra-Wurm an Webseitenbesucher auslieferten und sich diese mit dem Schädling infizierten.

Überraschend hat Microsoft nun den Patch-Day für den Monat Dezember 2004 vorverlegt und einen Patch gegen das IFRAME-Sicherheitsloch veröffentlicht, das Redmond als kritisch einstuft. Damit hat Microsoft erstmals seit der neu verkündeten Sicherheitsstrategie einen Patch für ein gefährliches Sicherheitsloch außerhalb des normalen monatlichen Patch-Days veröffentlicht, obgleich zahlreiche frühere Patches von Microsoft selbst als bedrohlich eingestuft wurden. Eigentlich sollte der Patch-Day erst am 14. Dezember 2004 stattfinden.

Von dem Sicherheitsleck ist der Internet Explorer 6.0 betroffen, nicht aber frühere Versionen des Browsers. Nicht betroffen sind Systeme mit dem Service Pack 2 für Windows XP, Windows XP in der 64-Bit-Version sowie der Windows Server 2003 in der 32- und 64-Bit-Ausführung, weil das Sicherheitsloch in diesen Versionen des Internet Explorer bereits behoben wurden, ohne dass Microsoft das bisher kundgetan hatte.

Die Patches für den Internet Explorer 6.0 stehen ab sofort per Windows Update oder über das entsprechende Security Bulletin zum Download bereit. Microsoft bietet derzeit Patches für Windows NT 4.0, 2000 und XP an, während Patches für die ebenfalls betroffenen Fassungen von Windows 98, 98SE und Millennium erst zu einem späteren Zeitpunkt veröffentlicht werden sollen. Da Microsoft das Sicherheitsleck als gefährlich einstuft, empfiehlt der Hersteller, den Sicherheits-Patch so schnell wie möglich zu installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Affen@gruß.de 04. Dez 2004

Mancher hat ja mit "deutsch" nichts mehr am Hut! AffenGrußAnAlleFans

backslash 03. Dez 2004

Wenn man HTML nur für den IE "optimiert" ist dass das eigentliche Problem. Würde sich ein...

Roman Laubinger 03. Dez 2004

ACK. Wenn ich ständig den Patches hinterherlaufen muß, habe ich sowieso schlechte...

Roman Laubinger 03. Dez 2004

Würdest Du das argumentativ untermauern, oder möchtest Du nur rumtrollen? Tschüss Roman...

Roman Laubinger 03. Dez 2004

ACK. NACK. Admins im professionellen Einsatz müssen sowieso die Sicherheitsnews im Auge...



Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Laserbeamer: Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro
    Laserbeamer
    Xiaomis Kurzdistanzprojektor kostet unter 1.500 Euro

    Der Fengmi R1 kann aus der Nähe Bilder von 50 bis 200 Zoll aufspannen und kostet relativ wenig. Dafür macht er bei der Auflösung Abstriche.

  2. Unter 100 MBit/s: Bundesland fürchtet Graue-Flecken-Förderung zu verpassen
    Unter 100 MBit/s
    Bundesland fürchtet Graue-Flecken-Förderung zu verpassen

    Sachsen will mehr FTTH, gerade für ländliche Regionen. Doch der Wirtschaftsminister befürchtet, dass andere Bundesländer schneller sind.

  3. WLAN und 6 GHz: Was bringt Wi-Fi 6E?
    WLAN und 6 GHz
    Was bringt Wi-Fi 6E?

    Der Standard Wi-Fi 6E erweitert WLAN das erste Mal seit Jahren um ein neues Frequenzband. Das hat viele Vorteile und ein paar Nachteile.
    Von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • Gaming-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /