Abo
  • IT-Karriere:

Zero-Day: Internet Explorer erlaubt Auslesen von Dateien

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Artikel veröffentlicht am ,
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden.
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden. (Bild: Alexander Hassenstein/Getty Images)

Über eine Sicherheitslücke im Internet Explorer lassen sich mit Hilfe von präparierten MHT-Dateien beliebige Dateien eines Nutzers auslesen. Microsoft möchte die Zero-Day-Sicherheitslücke vorerst nicht schließen. Der Sicherheitsforscher John Page hatte die Sicherheitslücke entdeckt und nun mangels Reaktion von Microsoft veröffentlicht. Windows-Nutzer sollten vorerst lieber keine MHT-Dateien öffnen.

Stellenmarkt
  1. DASGIP GmbH, Jülich
  2. über HRM CONSULTING GmbH, deutschlandweit (Home-Office)

Werden mit dem Internet Explorer Webseiten lokal abgespeichert, werden diese als MHTML-Webarchive gespeichert. Diese MHT-Dateien werden standardmäßig mit dem Internet Explorer geöffnet, auch bei Nutzern, die in ihrem Surfalltag auf Edge, Chrome oder Firefox setzen. Entsprechend reicht es für den Angriff, wenn ein Nutzer eine MHT-Datei öffnet - auch in aktuellen Windows-Installationen mit Windows 7 oder 10 mit Internet Explorer 11.

Mit präparierten MHT-Dateien lässt sich ein Fehler in der Behandlung von XML-Objekten ausnutzen, eine sogenannte XXE-Lücke (XML External Entity). Durch diesen lassen sich beliebige Dateien eines Windows-Systems auslesen und auf einen Webserver übertragen.

Microsoft will das Problem vorerst nicht lösen

Der Sicherheitsforscher hatte die Lücke nach eigenen Angaben bereits im März entdeckt und an Microsoft gemeldet. Am 10. April habe Microsoft ihm folgendes Statement geschickt: "Wir haben uns dazu entschlossen, die Sicherheitslücke in einer zukünftigen Version des Produktes oder Dienstes zu schließen. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Problembehebung veröffentlichen. Wir haben diesen Fall geschlossen." Daraufhin entschloss sich Page, die Sicherheitslücke mitsamt Proof-of-Concept zu veröffentlichen.

Zu den Kommentaren springen
Meistgelesen
  1. iFixit-Rückzug
    Samsung taucht tief in den Fettnapf ein
  2. Windows 10 1903
    Nächstes Windows-Update braucht 32 GByte freien Speicher
  3. Energiewende
    DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  4. Deutschlandstart für E-Bike
    Cowboy verkauft leichtes Pedelec für unter 2.000 Euro
  5. Elektronikhändler
    Media Saturn soll vor drastischem Stellenabbau stehen
Anzeige
Top-Angebote
  1. (u. a. Samsung 970 EVO Plus 500 GB SSD 117,90€, G.Skill 16GB DDR4-3200 89,90€)
  2. 63,92€
  3. 87,90€
  4. (u. a. ASUS ROG Strix Z390-F Gaming, Mainboard 204,90€, ASUS TUF B450M-PRO GAMING, Mainboard 98...
Kommentarübersicht
Hmmm.
Truster 16. Apr 2019 / Themenstart

Ich weiß jetzt nicht, wo hier die Sensation liegt. Da tue ich mir mit einer .doc Datei...

Re: Die NSA braucht die Lücke noch...
ML82 15. Apr 2019 / Themenstart

ich glaube auch, oder bearbeiter des tickets hat voll gepennt ... interessant wäre ob es...

Re: Nur wenn man vorher weiß welche Datei
Grob Notoriker 15. Apr 2019 / Themenstart

Hmmm - unter Win7 64b geht da nix...

Kommentieren

Folgen Sie uns
       
Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Huawei
P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. P30 Pro Teardown gewährt Blick auf Huaweis Periskop-Teleobjektiv
  2. CIA-Vorwürfe Huawei soll von chinesischer Regierung finanziert werden
  3. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
Passwort
Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter
Raspberry Pi
Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /