Neue Sicherheitslücke im Internet Explorer

Noch kein Patch verfügbar. Eine neue Sicherheitslücke im Internet Explorer wird bereits aktiv ausgenutzt und wurde von Microsoft bestätigt. Über das Sicherheitsleck können Angreifer beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Microsoft beschwichtigt, das reale Risiko sei gering, während Sicherheitsexperten von Secunia und McAfee die Gefahr als hoch einschätzen.

20. September 2006 um 10:06 Uhr / Ingo Pakalski

47 Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsleck steckt in der Vgx.dll des Internet Explorer, die für die Darstellung von VML-Inhalten (Vector Markup Language) zuständig ist. Mit Hilfe von VML werden Vektorinformationen in Webseiten eingebunden. Angreifer müssen ihre Opfer lediglich dazu bringen, manipulierte VML-Inhalte mit dem Internet Explorer oder einem E-Mail-Client zu öffnen, der Microsofts Rendering Engine zur Anzeige von HTML-E-Mails verwendet.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Ausbildung Kaufmann für Digitalisierungsmanagement (m/w/d) Sparkasse Forchheim, Forchheim (öffnet im neuen Fenster)

Digital Experience Reviewer (m/w/d) SERVIZIO GmbH, Wächtersbach (öffnet im neuen Fenster)

E-Commerce Manager* Ledlenser GmbH & Co. KG, Solingen (öffnet im neuen Fenster)

Solution Architect ServiceNow Platform (BCM/SARA) (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

IT-Referent mit Schwerpunkt Konzernreporting & Systembetreuung (w/m/d) Salzgitter AG, Salzgitter (öffnet im neuen Fenster)

Fachkoordinator Digitale Prozesse (w/m/d) MEG Übach-Palenberg GmbH, Übach-Palenberg (öffnet im neuen Fenster)

Im Internet wurde bereits Programmcode gefunden, der diese Sicherheitslücke ausnutzt. Die Sicherheitsspezialisten von Secunia stufen das Risiko als hoch(öffnet im neuen Fenster) ein. Microsoft beschwichtigt hingegen(öffnet im neuen Fenster) und sieht keine große Gefahr durch das Sicherheitsloch im Internet Explorer, da sich der Schadcode kaum verbreitet habe. Die Sicherheitsexperten von McAfee sehen ebenfalls eine große Gefahr durch das Sicherheitsloch(öffnet im neuen Fenster) , denn der Schadcode ist bereits Bestandteil eines Toolkits, um Viren, Würmer oder Trojanische Pferde zu erzeugen. Dieses Toolkit wird nach McAfee-Angaben in Untergrundkreisen für 17,- US-Dollar verkauft.

Nach derzeitiger Planung will Microsoft einen Patch erst am kommenden regulären Patch-Day im Oktober 2006 veröffentlichen. Ein Security Advisory(öffnet im neuen Fenster) beschreibt verschiedene Wege, um sich bis zum Erscheinen eines Patches gegen Angriffe zu schützen. Wahlweise muss die VML-Darstellung deaktiviert oder die Scripting-Funktion im Internet Explorer verändert werden, so dass der Browser nicht mehr voll einsatzfähig ist und der Nutzer sich mit Einschränkungen abfinden muss.

Zur Startseite 47 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Internet Explorer mit gefährlichem Sicherheitsloch

Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar. Im Internet Explorer 6 wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert zumindest einen Denial-of-Service-Angriff. Bislang steht kein Patch zur Abhilfe bereit.

Sieben gefährliche Sicherheitslücken im Internet Explorer

Sammel-Patch beseitigt acht Sicherheitslecks in Microsofts Browser. Mit einem Sammel-Patch korrigiert Microsoft gleich acht Sicherheitslücken im Internet Explorer, wovon fünf als gefährlich einzustufen sind. Der Sammel-Patch vom Juni 2006 korrigiert zudem zwei Spoofing-Lecks in Microsofts Browser. Außerdem stehen Patches für den JScript-Interpreter und die ART-Grafikbibliothek bereit. Über viele der nun bekannt gewordenen Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Relevante Themen