Gefährliches Sicherheitsrisiko im Internet Explorer

Angreifer nutzen Sicherheitsloch vom Mai 2005

Für Microsofts Webbrowser ist Programmcode aufgetaucht, der ein altes, aber bislang nicht geschlossenes Sicherheitsleck im Internet Explorer ausnutzt. Angreifer können über eine präparierte Webseite beliebigen Programmcode auf fremde Rechner schleusen und sich so eine umfassende Kontrolle darüber verschaffen. Ein Patch zur Beseitigung des Sicherheitslochs ist nicht verfügbar.

Artikel veröffentlicht am ,

Der Internet Explorer initialisiert verschiedene Objekte nicht korrekt, wenn die Funktion "window()" in Verbindung mit dem "body onload"-Event verwendet wird. Ein Angreifer kann diesen Umstand nutzen, um per JavaScript-Befehl beliebigen Programmcode auf einen fremden Rechner zu schleusen und diesen dort auszuführen.

Der Angreifer muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite mit dem Internet Explorer aufzurufen. Da die Rendering Engine des Internet Explorers von einer Reihe von E-Mail-Programmen wie etwa Outlook oder Outlook Express verwendet wird, können Anwender auch durch das Öffnen einer entsprechenden HTML-E-Mail Opfer eines Angriffs werden.

Obwohl das Sicherheitsleck bereits seit Mai 2005 bekannt ist, hat Microsoft erst reagiert, nachdem nun Beispielcode im Internet erschienen ist, der das Sicherheitsloch ausnutzt. Allerdings bietet Microsoft nun keineswegs einen Patch an, sondern informiert in einem Security Advisory lediglich darüber, dass das Problem nun untersucht werde.

Die Untätigkeit des Softwaregiganten begründet dieser damit, dass das im Mai 2005 bekannt gewordene Sicherheitsloch im Internet Explorer zu einem Absturz des Browsers führte. Erst durch den aktuell erschienenen Beispiel-Code sei bekannt geworden, dass das Sicherheitsleck auch die Ausführung von Programmcode erlaube. Dennoch bleibt unverständlich, warum der Programmfehler im Internet Explorer ein knappes halbes Jahr unbearbeitet blieb.

Das Sicherheitsloch wurde für die Versionen 5.5 und 6.0 vom Internet Explorer auf Systemen mit Windows 2000 und XP bestätigt. Microsoft räumt außerdem ein, dass das Sicherheitsleck auch in Windows 98, 98 SE und Windows Millennium steckt. Auf Systemen mit Windows Server 2003 soll die Sicherheitslücke in der Standardkonfiguration keine Wirkung zeigen, versichert der Hersteller.

Da es derzeit keinen Patch gibt, um das Sicherheitsloch im Internet Explorer zu schließen, bleibt nur die Möglichkeit, ActiveScripting zu deaktivieren oder auf einen Browser eines anderen Herstellers zu wechseln, um nicht Opfer einer solchen Attacke zu werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Internet Explorer: Höhere Sicherheit stört Seitendarstellung
Sicherheitsleck lässt Internet Explorer abstürzen
Gefährliches Sicherheitsloch im Internet Explorer
Meistgelesen
artikel-bild
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung
artikel-bild
Kernkraft-Utopien
Ein Rückblick auf die nukleare Zukunft
artikel-bild
Sipeed Tang Nano im Test
Günstiger FPGA-Einstieg mit Frustpotenzial
Kommentarübersicht
Re: immer diese XPler...
response 10. Dez 2005

wenn keiner windows nehmen würde, würde man linux schrotten + mit viren überhäufen, is nu...

Re: Gefährliches Sicherheitsrisiko in OPERA...
Yorick 01. Dez 2005

Hat man von Version 8.50 gehört. Mit 8.51 wurde das rasch gepatcht. Opera ist der...

Re: Welcher Browser ist sicher
blub 23. Nov 2005

Nicht wirklich richtig! Der Grund, warum der IE so viele Bugs hat liegt nicht daran, dass...

Fischöl soll helfen
BerndBernd 22. Nov 2005

Es sollte helfen, wenn man einen halben Liter Fischöl in die Tastatur kippt. Dann fluppts.

Aktuell auf der Startseite von Golem.de
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung

Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
Artikel
  1. Schufa-Score: Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
    Schufa-Score
    Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung

    Die DKB hat einen Kreditkartenantrag nur gestützt auf Algorithmen und den Schufa-Score abgelehnt und dies auch nicht begründet. Das kostet 300.000 Euro Bußgeld.

  2. Generative Fill: Wie Adobes KI-Funktionen das Internet spalten
    Generative Fill
    Wie Adobes KI-Funktionen das Internet spalten

    Die KI-Füllfunktion in Photoshop erfindet Hintergründe zu Gemälden oder Album-Covern. Einige finden das kreativ, andere sehen die Kunst bedroht.

  3. Glasfaser: Netcologne unterscheidet nicht zwischen FTTH und FTTB
    Glasfaser
    Netcologne unterscheidet nicht zwischen FTTH und FTTB

    Telekom und Vodafone überbauen das Netz von Netcologne in Köln. Doch was für ein Netz hat Netcologne?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Gigabyte RTX 3060 Ti 369€ • Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Deals Week • MindStar: Corsair Crystal RGB Midi Tower 119€, Palit RTX 4070 659€ • Roccat bis -50% • AVM Modems & Repeater bis -36% • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /