• IT-Karriere:
  • Services:

Patch-Day: Schwere Sicherheitslöcher im Internet Explorer

Angreifer können beliebigen Programmcode ausführen

Für den Patch-Day August 2005 hatte Microsoft sechs Security Bulletins angekündigt, die nun insgesamt neun Sicherheitslücken schließen. Sechs dieser Sicherheitslöcher stecken in Windows, während drei schwere Sicherheitslecks den Internet Explorer ab der Version 5 betreffen. Über diese Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über fremde Systeme verschaffen.

Artikel veröffentlicht am ,

Der Internet Explorer weist unter anderem einen Programmfehler bei der Verarbeitung von JPEG-Bildern auf, worüber ein Angreifer beliebigen Programmcode ausführen kann. Dazu muss eine manipulierte JPEG-Datei lediglich auf einer Webseite eingebunden werden.

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. über duerenhoff GmbH, Wien (Österreich)

Ein Fehler bei der Verarbeitung von COM-Objekten im Internet Explorer sorgt dafür, dass Angreifer darüber ebenfalls beliebigen Programmcode ausführen können, indem Opfer auf speziell bearbeitete Webseiten gelockt werden. Im Internet ist bereits Exploit-Code im Umlauf, um das Sicherheitsleck auszunutzen.

Über ein Cross-Domain-Sicherheitsloch im Internet Explorer erhalten Angreifer zudem die Möglichkeit, beliebigen Programmcode auszuführen oder Einblick in vertrauliche Dateien zu erlangen. Ein Angreifer muss dazu eine präparierte Webseite bereitstellen, um das Sicherheitsloch auszunutzen. Dazu sind allerdings einige Tricks notwendig, um das Opfer dazu zu bringen, die notwendigen Operationen auszuführen.

Zahlreiche E-Mail-Clients nutzen die Rendering Engine des Internet Explorer für die Anzeige von HTML-E-Mails, so dass derartige Sicherheitslücken auch darüber ausgenutzt werden können, indem entsprechend präparierte HTML-E-Mails von den Opfern geöffnet werden.

Alle drei genannten Sicherheitslöcher im Internet Explorer beseitigt Microsoft mit einem Sammel-Patch. Der Sammel-Patch wird auch über Microsofts Update-Funktion angeboten, ohne dass die verwendete Windows-Lizenz überprüft wird. In Kürze werden inoffizielle Patch-Pakete bzw. Setup-Routinen erwartet, um die Sicherheitslücken von Windows und dem Internet Explorer mit einem Rutsch zu schließen.

Nachtrag vom 10. August 2005 um 10:20 Uhr:
Seitdem Microsoft die Patches für den Internet Explorer in der vergangenen Nacht veröffentlicht hatte, sind die Download-Dateien aus den Security Bulletins fehlerhaft, so dass sich die Patches nicht installieren lassen. Über die Update-Funktion der Software läuft hingegen alles fehlerfrei, teilte das Unternehmen mit. Noch hat Microsoft die Probleme im Download-Center nicht behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. gratis (bis 02. April, 17 Uhr)
  2. 59,99€ (PC), 64,97€ (PS4), 69,99€ (Xbox One)
  3. (-63%) 14,99€
  4. 23,99€

Namenfinder 11. Aug 2005

Hab ich gefunden, darf ich ihn bitte bitte behalten?

GastVomAst 10. Aug 2005

Es gibt SCHON sogar ein Statement :-) IEBLOG: "Shortly after we released the updates...

Ausgewogenheit 10. Aug 2005

Du drückst den "Start"-Knopf und klickst auf "Windows-Update"......

Ausgewogenheit 10. Aug 2005

Wieso schaffen es Journalisten immer wieder, in einen Satz logische Widerspruche zu...


Folgen Sie uns
       


Samsung Galaxy S20 - Hands on

Samsung hat gleich drei neue Modelle der Galaxy-S20-Serie vorgestellt. Golem.de konnte sich die Smartphones im Vorfeld bereits genauer anschauen.

Samsung Galaxy S20 - Hands on Video aufrufen
Elektromobilität: Ein Besuch im tschechischen Grünheide
Elektromobilität
Ein Besuch im tschechischen Grünheide

Der Autohersteller Hyundai fertigt einen Teil seiner Kona Elektros jetzt in der EU. Im tschechischen Nošovice rollen pro Jahr bis zu 35.000 Elektroautos vom Band - sollte es keine Corona-bedingten Unterbrechungen geben. Ein Werksbesuch.
Von Dirk Kunde

  1. Crossover-Elektroauto Model Y fährt effizienter als Model 3
  2. Wohnungseigentumsgesetz Regierung beschließt Anspruch auf private Ladestelle
  3. Plugin-Hybride BMW setzt Anreize für höhere Stromerquote

Autorennen: Rennsportler fahren im Homeoffice
Autorennen
Rennsportler fahren im Homeoffice

Formel 1? Gestrichen. DTM? Gestrichen. Formel E? Gestrichen. Jetzt treten die Rennprofis gegen die besten Onlinefahrer der Welt an.
Von Frank Wunderlich-Pfeiffer

  1. E-Sport Die Formel 1 geht online weiter
  2. Lvl Von der Donnerkuppel bis zum perfekten Burger
  3. E-Sport Gran-Turismo-Champion gewinnt auch echte Rennserie

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

    •  /