Abo
  • Services:

Gefährliches Sicherheitsleck im Internet Explorer (Update)

Angreifer kann Befehle über das Sicherheitsloch ausführen

Im Internet Explorer wurde eine weitere Sicherheitslücke entdeckt, worüber Angreifer beliebige Befehle auf einem anderen System ausführen können, berichten die Sicherheitsspezialisten von FrSIRT. Demnach macht sich das Sicherheitsloch nur bemerkbar, wenn eine bestimmte Microsoft-Datei auf dem System des Opfers vorhanden ist, die Microsoft Office und Visual Studio .NET auf den Rechner bringen.

Artikel veröffentlicht am ,

Über eine entsprechend manipulierte HTML-Seite kann sich ein Angreifer über das von FrSIRT entdeckte Sicherheitsloch im Internet Explorer eine umfassende Kontrolle über fremde Rechner verschaffen, da darüber beliebige Befehle ausgeführt werden können. Da viele E-Mail-Clients die Rendering Engine des Internet Explorers verwenden, sind auch diese Applikationen anfällig für diese Sicherheitslücke.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Die Entdecker weisen darauf hin, dass PCs nur dann betroffen sind, wenn sich die Microsoft-Datei "Msdds.dll" in einer bestimmten Version auf den Systemen befindet. Diese Datei gelangt in der Version 7.0.9064.9112 auf Rechner, sobald Microsoft Office 2002 oder Visual Studio .NET 2002 installiert werden. Zunächst gab FrSIRT an, dass auch Visual Studio .NET 2003 diese Datei einschleust. Diese Information wurde allerdings nun zurückgenommen. Microsoft widerspricht diesen Ergebnissen und behauptet, die Datei werde ausschließlich durch Visual Studio .NET installiert. Die Entdecker stellen bereits Beispiel-Code zur Verfügung, um die Arbeitsweise der Sicherheitslücke zu demonstrieren.

Bislang steht kein Patch bereit, um das Sicherheitsloch im Internet Explorer zu schließen. Die Entdecker der Sicherheitslücke stufen die Gefährdung als hoch ein.

Nachtrag vom 18. August 2005 um 14:18 Uhr:
Die Sicherheitsspezialisten von FrSIRT gaben nun bekannt, welche Programme die Microsoft-Datei "Msdds.dll" installieren, was zunächst noch unklar war. Der Meldungstext wurde an den entsprechenden Textstellen überarbeitet.

Zu den Kommentaren springen
Meistgelesen
  1. iOS und Android
    Google veröffentlicht Flutter 1.0
  2. Hochgeschwindigkeitszug
    Alfa-X wird der schnellste Shinkansen
  3. US-Sicherheitsbehörden
    Telekom darf Sprint kaufen, wenn sie Huawei fallen lassen
  4. Bitkom
    Besetzung von IT-Jobs scheitert an Geld und Kompetenzmangel
  5. Microsoft 365
    Windows-10-Abo kommt wohl auch für private Nutzer
Anzeige
Top-Angebote
  1. 59€ für Prime-Mitglieder
  2. 99,90€ + Versand (Bestpreis!)
  3. (u. a. VR Mega Pack für 229€)
Kommentarübersicht
keine Ente
Sinbad 19. Aug 2005

nö, wie die aktuelle Entwicklung zeigt, liegt der Fehler wohl vor, betrifft aber wohl nur...

einfache lösung für alle bugs
doc brown 18. Aug 2005

nein, nicht format c etc (obwohl das sicher bald nötg werden wird mit vista am horizont...

Neue Info zum "Loch" im IE
Pathfinder 18. Aug 2005

Ich mag´s zwar überhaupt nicht, aber muss mal zu heise verweisen. Da gibt es grad nen...

Re: Isch abe gar keine Datei!
Brumpf 18. Aug 2005

Du meinst dann würdest Du Interesse heucheln ...

Re: IE ? :-(
M.Kessel 18. Aug 2005

Und ab und an ist man noch drauf angewisen, weil der Webseitenbetreiber leider noch...

Folgen Sie uns
       
Offroad mit dem Audi E-Tron

Mit dem neuen Audi E-Tron fährt es sich leicht durch unwegsames Gelände.

Offroad mit dem Audi E-Tron Video aufrufen
Yuneec
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller

    IT-Jobs
    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
    Valve
    IMHO: Valves Ka-Ching mit der Brechstange
    IMHO
    Valves "Ka-Ching" mit der Brechstange

    Es klingelt seit Jahren in den Kassen des Unternehmens von Gabe Newell. Dabei ist die Firma tief verschuldet - und zwar in den Herzen der Gamer.
    Ein IMHO von Michael Wieczorek

    1. Artifact im Test Zusammengewürfelt und potenziell teuer
    2. Artifact Erste Kritik an Kosten von Valves Sammelkartenspiel
    3. Virtual Reality Valve arbeitet an VR-Headset und Half-Life-Titel
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /