Abo
  • IT-Karriere:

Gefährliches Sicherheitsrisiko im Internet Explorer

Angreifer nutzen Sicherheitsloch vom Mai 2005

Für Microsofts Webbrowser ist Programmcode aufgetaucht, der ein altes, aber bislang nicht geschlossenes Sicherheitsleck im Internet Explorer ausnutzt. Angreifer können über eine präparierte Webseite beliebigen Programmcode auf fremde Rechner schleusen und sich so eine umfassende Kontrolle darüber verschaffen. Ein Patch zur Beseitigung des Sicherheitslochs ist nicht verfügbar.

Artikel veröffentlicht am ,

Der Internet Explorer initialisiert verschiedene Objekte nicht korrekt, wenn die Funktion "window()" in Verbindung mit dem "body onload"-Event verwendet wird. Ein Angreifer kann diesen Umstand nutzen, um per JavaScript-Befehl beliebigen Programmcode auf einen fremden Rechner zu schleusen und diesen dort auszuführen.

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. BWI GmbH, Bonn, Köln, Wilhelmshaven, Potsdam-Schwielowsee

Der Angreifer muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite mit dem Internet Explorer aufzurufen. Da die Rendering Engine des Internet Explorers von einer Reihe von E-Mail-Programmen wie etwa Outlook oder Outlook Express verwendet wird, können Anwender auch durch das Öffnen einer entsprechenden HTML-E-Mail Opfer eines Angriffs werden.

Obwohl das Sicherheitsleck bereits seit Mai 2005 bekannt ist, hat Microsoft erst reagiert, nachdem nun Beispielcode im Internet erschienen ist, der das Sicherheitsloch ausnutzt. Allerdings bietet Microsoft nun keineswegs einen Patch an, sondern informiert in einem Security Advisory lediglich darüber, dass das Problem nun untersucht werde.

Die Untätigkeit des Softwaregiganten begründet dieser damit, dass das im Mai 2005 bekannt gewordene Sicherheitsloch im Internet Explorer zu einem Absturz des Browsers führte. Erst durch den aktuell erschienenen Beispiel-Code sei bekannt geworden, dass das Sicherheitsleck auch die Ausführung von Programmcode erlaube. Dennoch bleibt unverständlich, warum der Programmfehler im Internet Explorer ein knappes halbes Jahr unbearbeitet blieb.

Das Sicherheitsloch wurde für die Versionen 5.5 und 6.0 vom Internet Explorer auf Systemen mit Windows 2000 und XP bestätigt. Microsoft räumt außerdem ein, dass das Sicherheitsleck auch in Windows 98, 98 SE und Windows Millennium steckt. Auf Systemen mit Windows Server 2003 soll die Sicherheitslücke in der Standardkonfiguration keine Wirkung zeigen, versichert der Hersteller.

Da es derzeit keinen Patch gibt, um das Sicherheitsloch im Internet Explorer zu schließen, bleibt nur die Möglichkeit, ActiveScripting zu deaktivieren oder auf einen Browser eines anderen Herstellers zu wechseln, um nicht Opfer einer solchen Attacke zu werden.



Anzeige
Spiele-Angebote
  1. 26,99€
  2. 4,99€
  3. 3,74€
  4. (-77%) 11,50€

response 10. Dez 2005

wenn keiner windows nehmen würde, würde man linux schrotten + mit viren überhäufen, is nu...

Yorick 01. Dez 2005

Hat man von Version 8.50 gehört. Mit 8.51 wurde das rasch gepatcht. Opera ist der...

blub 23. Nov 2005

Nicht wirklich richtig! Der Grund, warum der IE so viele Bugs hat liegt nicht daran, dass...

BerndBernd 22. Nov 2005

Es sollte helfen, wenn man einen halben Liter Fischöl in die Tastatur kippt. Dann fluppts.


Folgen Sie uns
       


Radeon RX 5700 (XT) - Test

Die Navi-10-Grafikkarten schlagen die Geforce RTX 2060(S), benötigen aber etwas mehr Energie und unterstützen kein Hardware-Raytracing, dafür sind sie günstiger.

Radeon RX 5700 (XT) - Test Video aufrufen
Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  2. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch
  3. Handheld Nintendo stellt die Switch Lite für unterwegs vor

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /