Gefährliches Sicherheitsloch im Internet Explorer

Microsoft bietet Patches für zwei Sicherheitslücken im Internet Explorer. Am Patch-Day für den Oktober 2005 nimmt sich Microsoft unter anderem zwei Sicherheitslücken im Internet Explorer vor. Während das eine Sicherheitsloch als weniger gefährlich eingestuft wird, kann ein Angreifer über das andere Leck beliebigen Programmcode ausführen, sofern er sein Opfer zum Besuch einer präparierten Webseite oder Ansicht einer manipulierten HTML-E-Mail bringt.

12. Oktober 2005 um 10:42 Uhr / Ingo Pakalski

52 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Bei der Verarbeitung von COM-Objekten als ActiveX-Steuerelemente im Internet Explorer ab der Version 5.x macht sich eine von Microsoft als kritisch eingestufte Sicherheitslücke bemerkbar, durch die Systemspeicher beschädigt wird. Darüber kann ein Angreifer dann beliebigen Programmcode mit den Rechten des angemeldeten Nutzers ausführen und so eine umfassende Kontrolle über ein fremdes System erlangen. Um Teile dieser Sicherheitsanfälligkeit hatte sich Microsoft bereits im August 2005 gekümmert und nun insgesamt 39 Aufrufe aus dem Internet Explorer deaktiviert. Somit ersetzt der aktuelle Patch auch das Sicherheits-Update vom August 2005.

Opfer müssen lediglich dazu gebracht werden, eine entsprechend präparierte Webseite zu öffnen oder aber eine HTML-E-Mail zu öffnen, sofern der verwendete E-Mail-Client die Rendering Engine von Microsofts Internet Explorer verwendet, was etwa auf Outlook und Outlook Express zutrifft. Das jetzt geschlossene Sicherheitsloch wurde laut Microsoft-Erkenntnissen bereits akiv ausgenutzt, so dass der bereitgestellte Patch zügig installiert werden sollte. Microsoft bietet Patches für den Internet Explorer ab der Version 5.x zum Download(öffnet im neuen Fenster) an. Auch Windows XP mit Service Pack 2 ist anfällig für diese Sicherheitslücke. Entdeckt und an Microsoft gemeldet wurde das Sicherheitsleck von den Sicherheitsspezialisten von eEye, die angeben, dass es 26 Tage gedauert hat, bis Microsoft den Patch bereitgestellt hat.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: IT-Risikomanagement-Schulung

zum Kurs

E-Learning: Microsoft Power Platform: Power Automate Grundkurs (E-Learning)

zum Kurs

In den FTP-Funktionen des Internet Explorer 6 sorgt ein weiteres Sicherheitsloch dafür, dass Angreifer den Speicherort einer per FTP-Protokoll übertragenen Datei verändern können, weil der vom FTP-Server übermittelte Dateiname nicht korrekt geprüft wird. Die Sicherheitslücke tritt nur dann auf, wenn die Option "Ordneransicht für FTP-Sites aktivieren" im Internet Explorer eingeschaltet ist, weshalb Microsoft die Gefährlichkeit des Sicherheitslochs als mittel einstuft. Passende Patches stehen für Windows 2000, XP mit Service Pack 1 und Windows Server 2003 zum Download(öffnet im neuen Fenster) bereit. Windows XP mit Service Pack 2 ist von dem Sicherheitsloch nicht betroffen.

Die genannten Sicherheits-Patches für den Internet Explorer bietet Microsoft ab sofort über die betreffenden Security Bulletins zum Download an. Alternativ können die Patches über die Update-Funktion des Betriebssystems bezogen werden.

Zur Startseite 52 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Microsoft beklagt Verhalten von Sicherheitsexperten

Aktuelle Sicherheitslücke im Internet Explorer wurde Microsoft nicht gemeldet. Mit einem neuen Sicherheitshinweis geht Microsoft auf die am gestrigen 18. August 2005 bekannt gemachte Sicherheitslücke im Internet Explorer ein. Bei dieser Gelegenheit beklagt der Softwaregigant, dass er nicht vorab über das Sicherheitsloch informiert wurde.

Gefährliches Sicherheitsleck im Internet Explorer (Update)

Angreifer kann Befehle über das Sicherheitsloch ausführen. Im Internet Explorer wurde eine weitere Sicherheitslücke entdeckt, worüber Angreifer beliebige Befehle auf einem anderen System ausführen können, berichten die Sicherheitsspezialisten von FrSIRT. Demnach macht sich das Sicherheitsloch nur bemerkbar, wenn eine bestimmte Microsoft-Datei auf dem System des Opfers vorhanden ist, die Microsoft Office und Visual Studio .NET auf den Rechner bringen.

Internet Explorer: Probleme mit Sicherheits-Patch behoben

Funktionierender Patch für Internet Explorer wieder per Download-Center zu haben. Am gestrigen 10. August 2005 hatte Microsoft anlässlich des monatlichen Patch-Days einen Sammel-Patch für den Internet Explorer veröffentlicht, um drei Sicherheitslücken in dem Browser zu schließen. Wurde der Patch über Microsofts Download-Center geladen, ließ er sich auf Grund eines Fehlers, der nun behoben ist, jedoch nicht installieren.

Relevante Themen