Gefährliches Sicherheitsrisiko im Internet Explorer

Angreifer nutzen Sicherheitsloch vom Mai 2005

Für Microsofts Webbrowser ist Programmcode aufgetaucht, der ein altes, aber bislang nicht geschlossenes Sicherheitsleck im Internet Explorer ausnutzt. Angreifer können über eine präparierte Webseite beliebigen Programmcode auf fremde Rechner schleusen und sich so eine umfassende Kontrolle darüber verschaffen. Ein Patch zur Beseitigung des Sicherheitslochs ist nicht verfügbar.

Artikel veröffentlicht am ,

Der Internet Explorer initialisiert verschiedene Objekte nicht korrekt, wenn die Funktion "window()" in Verbindung mit dem "body onload"-Event verwendet wird. Ein Angreifer kann diesen Umstand nutzen, um per JavaScript-Befehl beliebigen Programmcode auf einen fremden Rechner zu schleusen und diesen dort auszuführen.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    KÖNIGSTEINER AGENTUR GmbH, Stuttgart
  2. CRM Application Manager (m/w/d)
    Getriebebau NORD GmbH & Co. KG, Bargteheide
Detailsuche

Der Angreifer muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite mit dem Internet Explorer aufzurufen. Da die Rendering Engine des Internet Explorers von einer Reihe von E-Mail-Programmen wie etwa Outlook oder Outlook Express verwendet wird, können Anwender auch durch das Öffnen einer entsprechenden HTML-E-Mail Opfer eines Angriffs werden.

Obwohl das Sicherheitsleck bereits seit Mai 2005 bekannt ist, hat Microsoft erst reagiert, nachdem nun Beispielcode im Internet erschienen ist, der das Sicherheitsloch ausnutzt. Allerdings bietet Microsoft nun keineswegs einen Patch an, sondern informiert in einem Security Advisory lediglich darüber, dass das Problem nun untersucht werde.

Die Untätigkeit des Softwaregiganten begründet dieser damit, dass das im Mai 2005 bekannt gewordene Sicherheitsloch im Internet Explorer zu einem Absturz des Browsers führte. Erst durch den aktuell erschienenen Beispiel-Code sei bekannt geworden, dass das Sicherheitsleck auch die Ausführung von Programmcode erlaube. Dennoch bleibt unverständlich, warum der Programmfehler im Internet Explorer ein knappes halbes Jahr unbearbeitet blieb.

Das Sicherheitsloch wurde für die Versionen 5.5 und 6.0 vom Internet Explorer auf Systemen mit Windows 2000 und XP bestätigt. Microsoft räumt außerdem ein, dass das Sicherheitsleck auch in Windows 98, 98 SE und Windows Millennium steckt. Auf Systemen mit Windows Server 2003 soll die Sicherheitslücke in der Standardkonfiguration keine Wirkung zeigen, versichert der Hersteller.

Da es derzeit keinen Patch gibt, um das Sicherheitsloch im Internet Explorer zu schließen, bleibt nur die Möglichkeit, ActiveScripting zu deaktivieren oder auf einen Browser eines anderen Herstellers zu wechseln, um nicht Opfer einer solchen Attacke zu werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


response 10. Dez 2005

wenn keiner windows nehmen würde, würde man linux schrotten + mit viren überhäufen, is nu...

Yorick 01. Dez 2005

Hat man von Version 8.50 gehört. Mit 8.51 wurde das rasch gepatcht. Opera ist der...

blub 23. Nov 2005

Nicht wirklich richtig! Der Grund, warum der IE so viele Bugs hat liegt nicht daran, dass...

BerndBernd 22. Nov 2005

Es sollte helfen, wenn man einen halben Liter Fischöl in die Tastatur kippt. Dann fluppts.



Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /