Abo
  • IT-Karriere:

Zero-Day: Internet Explorer erlaubt Auslesen von Dateien

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Artikel veröffentlicht am ,
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden.
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden. (Bild: Alexander Hassenstein/Getty Images)

Über eine Sicherheitslücke im Internet Explorer lassen sich mit Hilfe von präparierten MHT-Dateien beliebige Dateien eines Nutzers auslesen. Microsoft möchte die Zero-Day-Sicherheitslücke vorerst nicht schließen. Der Sicherheitsforscher John Page hatte die Sicherheitslücke entdeckt und nun mangels Reaktion von Microsoft veröffentlicht. Windows-Nutzer sollten vorerst lieber keine MHT-Dateien öffnen.

Stellenmarkt
  1. Dataport, Kiel
  2. OEDIV KG, Bielefeld

Werden mit dem Internet Explorer Webseiten lokal abgespeichert, werden diese als MHTML-Webarchive gespeichert. Diese MHT-Dateien werden standardmäßig mit dem Internet Explorer geöffnet, auch bei Nutzern, die in ihrem Surfalltag auf Edge, Chrome oder Firefox setzen. Entsprechend reicht es für den Angriff, wenn ein Nutzer eine MHT-Datei öffnet - auch in aktuellen Windows-Installationen mit Windows 7 oder 10 mit Internet Explorer 11.

Mit präparierten MHT-Dateien lässt sich ein Fehler in der Behandlung von XML-Objekten ausnutzen, eine sogenannte XXE-Lücke (XML External Entity). Durch diesen lassen sich beliebige Dateien eines Windows-Systems auslesen und auf einen Webserver übertragen.

Microsoft will das Problem vorerst nicht lösen

Der Sicherheitsforscher hatte die Lücke nach eigenen Angaben bereits im März entdeckt und an Microsoft gemeldet. Am 10. April habe Microsoft ihm folgendes Statement geschickt: "Wir haben uns dazu entschlossen, die Sicherheitslücke in einer zukünftigen Version des Produktes oder Dienstes zu schließen. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Problembehebung veröffentlichen. Wir haben diesen Fall geschlossen." Daraufhin entschloss sich Page, die Sicherheitslücke mitsamt Proof-of-Concept zu veröffentlichen.

Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto von VW
    Es hat sich bald ausgegolft
  2. Surface Pro X im Hands on
    ARM macht arm
  3. Surface Laptop 3 im Hands on
    Die wenigsten Kilos und die wenigsten Anschlüsse
  4. Arbeit im Amt
    Wichtig ist ein Talent zum Zeittotschlagen
  5. The Outer Worlds im Test
    Feuergefechte und Fiesheiten am Rande des Universums
Anzeige
Spiele-Angebote
  1. 16,49€
  2. 64,99€ (Release am 25. Oktober)
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
Kommentarübersicht
Hmmm.
Truster 16. Apr 2019

Ich weiß jetzt nicht, wo hier die Sensation liegt. Da tue ich mir mit einer .doc Datei...

Re: Die NSA braucht die Lücke noch...
Anonymer Nutzer 15. Apr 2019

ich glaube auch, oder bearbeiter des tickets hat voll gepennt ... interessant wäre ob es...

Re: Nur wenn man vorher weiß welche Datei
Grob Notoriker 15. Apr 2019

Hmmm - unter Win7 64b geht da nix...

Folgen Sie uns
       
Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
Pixel 4
Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Pixel 4 Google will Gesichtsentsperrung sicher machen
  2. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  3. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
Angespielt
Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
Tolino
Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /