Abo
  • IT-Karriere:

Zero-Day: Internet Explorer erlaubt Auslesen von Dateien

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Artikel veröffentlicht am ,
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden.
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden. (Bild: Alexander Hassenstein/Getty Images)

Über eine Sicherheitslücke im Internet Explorer lassen sich mit Hilfe von präparierten MHT-Dateien beliebige Dateien eines Nutzers auslesen. Microsoft möchte die Zero-Day-Sicherheitslücke vorerst nicht schließen. Der Sicherheitsforscher John Page hatte die Sicherheitslücke entdeckt und nun mangels Reaktion von Microsoft veröffentlicht. Windows-Nutzer sollten vorerst lieber keine MHT-Dateien öffnen.

Stellenmarkt
  1. TIMOCOM GmbH, Erkrath
  2. Diehl Informatik GmbH, Nürnberg

Werden mit dem Internet Explorer Webseiten lokal abgespeichert, werden diese als MHTML-Webarchive gespeichert. Diese MHT-Dateien werden standardmäßig mit dem Internet Explorer geöffnet, auch bei Nutzern, die in ihrem Surfalltag auf Edge, Chrome oder Firefox setzen. Entsprechend reicht es für den Angriff, wenn ein Nutzer eine MHT-Datei öffnet - auch in aktuellen Windows-Installationen mit Windows 7 oder 10 mit Internet Explorer 11.

Mit präparierten MHT-Dateien lässt sich ein Fehler in der Behandlung von XML-Objekten ausnutzen, eine sogenannte XXE-Lücke (XML External Entity). Durch diesen lassen sich beliebige Dateien eines Windows-Systems auslesen und auf einen Webserver übertragen.

Microsoft will das Problem vorerst nicht lösen

Der Sicherheitsforscher hatte die Lücke nach eigenen Angaben bereits im März entdeckt und an Microsoft gemeldet. Am 10. April habe Microsoft ihm folgendes Statement geschickt: "Wir haben uns dazu entschlossen, die Sicherheitslücke in einer zukünftigen Version des Produktes oder Dienstes zu schließen. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Problembehebung veröffentlichen. Wir haben diesen Fall geschlossen." Daraufhin entschloss sich Page, die Sicherheitslücke mitsamt Proof-of-Concept zu veröffentlichen.



Anzeige
Top-Angebote
  1. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  2. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)
  3. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)

Truster 16. Apr 2019

Ich weiß jetzt nicht, wo hier die Sensation liegt. Da tue ich mir mit einer .doc Datei...

Anonymer Nutzer 15. Apr 2019

ich glaube auch, oder bearbeiter des tickets hat voll gepennt ... interessant wäre ob es...

Grob Notoriker 15. Apr 2019

Hmmm - unter Win7 64b geht da nix...


Folgen Sie uns
       


Linux für Gaming installieren - Tutorial

Die Linux-Distribution Manjaro eignet sich gut für Spiele - wir erklären im Video wie man sie installiert.

Linux für Gaming installieren - Tutorial Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

    •  /