Gefährliches Sicherheitsrisiko im Internet Explorer

Angreifer nutzen Sicherheitsloch vom Mai 2005. Für Microsofts Webbrowser ist Programmcode aufgetaucht, der ein altes, aber bislang nicht geschlossenes Sicherheitsleck im Internet Explorer ausnutzt. Angreifer können über eine präparierte Webseite beliebigen Programmcode auf fremde Rechner schleusen und sich so eine umfassende Kontrolle darüber verschaffen. Ein Patch zur Beseitigung des Sicherheitslochs ist nicht verfügbar.

22. November 2005 um 10:47 Uhr / Ingo Pakalski

29 Kommentare News folgen (öffnet im neuen Fenster)

Der Internet Explorer initialisiert verschiedene Objekte nicht korrekt, wenn die Funktion "window()" in Verbindung mit dem "body onload"-Event verwendet wird. Ein Angreifer kann diesen Umstand nutzen, um per JavaScript-Befehl beliebigen Programmcode auf einen fremden Rechner zu schleusen und diesen dort auszuführen.

Der Angreifer muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite mit dem Internet Explorer aufzurufen. Da die Rendering Engine des Internet Explorers von einer Reihe von E-Mail-Programmen wie etwa Outlook oder Outlook Express verwendet wird, können Anwender auch durch das Öffnen einer entsprechenden HTML-E-Mail Opfer eines Angriffs werden.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Microsoft Entra ID (Azure Active Directory): virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Mehr digitale Ordnung für Selbstständige (E-Learning)

zum Kurs

Obwohl das Sicherheitsleck bereits seit Mai 2005 bekannt ist, hat Microsoft erst reagiert, nachdem nun Beispielcode im Internet erschienen ist, der das Sicherheitsloch ausnutzt. Allerdings bietet Microsoft nun keineswegs einen Patch an, sondern informiert in einem Security Advisory(öffnet im neuen Fenster) lediglich darüber, dass das Problem nun untersucht werde.

Die Untätigkeit des Softwaregiganten begründet dieser damit, dass das im Mai 2005 bekannt gewordene Sicherheitsloch im Internet Explorer zu einem Absturz des Browsers führte. Erst durch den aktuell erschienenen Beispiel-Code sei bekannt geworden, dass das Sicherheitsleck auch die Ausführung von Programmcode erlaube. Dennoch bleibt unverständlich, warum der Programmfehler im Internet Explorer ein knappes halbes Jahr unbearbeitet blieb.

Das Sicherheitsloch wurde für die Versionen 5.5 und 6.0 vom Internet Explorer auf Systemen mit Windows 2000 und XP bestätigt. Microsoft räumt außerdem ein, dass das Sicherheitsleck auch in Windows 98, 98 SE und Windows Millennium steckt. Auf Systemen mit Windows Server 2003 soll die Sicherheitslücke in der Standardkonfiguration keine Wirkung zeigen, versichert der Hersteller.

Da es derzeit keinen Patch gibt, um das Sicherheitsloch im Internet Explorer zu schließen, bleibt nur die Möglichkeit, ActiveScripting zu deaktivieren oder auf einen Browser eines anderen Herstellers zu wechseln, um nicht Opfer einer solchen Attacke zu werden.

Zur Startseite 29 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Internet Explorer: Höhere Sicherheit stört Seitendarstellung

Oft kritisierte Sicherheitsarchitektur vom Internet Explorer zeigt Folgen. In den vergangenen Monaten hat Microsoft zur Beseitigung von Sicherheitslücken im Internet Explorer einige Funktionen so beschränkt, dass manche Webseite in dem Redmondschen Browser nicht mehr korrekt angezeigt wird. Dies belegt abermals, dass viele der durch den Internet Explorer hervorgerufenen Sicherheitsprobleme in der Browser-Architektur begründet sind, die sich eben nicht ohne weiteres beheben lassen, ohne dem Nutzer zunächst Nachteile aufbürden zu müssen.

Sicherheitsleck lässt Internet Explorer abstürzen

Manipuliertes HTML-Tag bringt Browser zum Absturz. Ein Sicherheitsloch im Internet Explorer lässt den Browser nach Erkenntnissen des Sicherheitsexperten Tom Ferris abstürzen, so dass Angreifer über präparierte Webseiten den Browser gezielt beenden könnten. Ein Patch zur Beseitigung des Sicherheitslochs liegt derzeit nicht vor.

Gefährliches Sicherheitsloch im Internet Explorer

Microsoft bietet Patches für zwei Sicherheitslücken im Internet Explorer. Am Patch-Day für den Oktober 2005 nimmt sich Microsoft unter anderem zwei Sicherheitslücken im Internet Explorer vor. Während das eine Sicherheitsloch als weniger gefährlich eingestuft wird, kann ein Angreifer über das andere Leck beliebigen Programmcode ausführen, sofern er sein Opfer zum Besuch einer präparierten Webseite oder Ansicht einer manipulierten HTML-E-Mail bringt.

Relevante Themen