• IT-Karriere:
  • Services:

Zero-Day: Internet Explorer erlaubt Auslesen von Dateien

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Artikel veröffentlicht am ,
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden.
Auch ein ungenutzter Internet Explorer kann für Windows-Nutzer gefährlich werden. (Bild: Alexander Hassenstein/Getty Images)

Über eine Sicherheitslücke im Internet Explorer lassen sich mit Hilfe von präparierten MHT-Dateien beliebige Dateien eines Nutzers auslesen. Microsoft möchte die Zero-Day-Sicherheitslücke vorerst nicht schließen. Der Sicherheitsforscher John Page hatte die Sicherheitslücke entdeckt und nun mangels Reaktion von Microsoft veröffentlicht. Windows-Nutzer sollten vorerst lieber keine MHT-Dateien öffnen.

Stellenmarkt
  1. KION Group AG, Frankfurt am Main
  2. Bundeskriminalamt Wiesbaden, Wiesbaden, Meckenheim

Werden mit dem Internet Explorer Webseiten lokal abgespeichert, werden diese als MHTML-Webarchive gespeichert. Diese MHT-Dateien werden standardmäßig mit dem Internet Explorer geöffnet, auch bei Nutzern, die in ihrem Surfalltag auf Edge, Chrome oder Firefox setzen. Entsprechend reicht es für den Angriff, wenn ein Nutzer eine MHT-Datei öffnet - auch in aktuellen Windows-Installationen mit Windows 7 oder 10 mit Internet Explorer 11.

Mit präparierten MHT-Dateien lässt sich ein Fehler in der Behandlung von XML-Objekten ausnutzen, eine sogenannte XXE-Lücke (XML External Entity). Durch diesen lassen sich beliebige Dateien eines Windows-Systems auslesen und auf einen Webserver übertragen.

Microsoft will das Problem vorerst nicht lösen

Der Sicherheitsforscher hatte die Lücke nach eigenen Angaben bereits im März entdeckt und an Microsoft gemeldet. Am 10. April habe Microsoft ihm folgendes Statement geschickt: "Wir haben uns dazu entschlossen, die Sicherheitslücke in einer zukünftigen Version des Produktes oder Dienstes zu schließen. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Problembehebung veröffentlichen. Wir haben diesen Fall geschlossen." Daraufhin entschloss sich Page, die Sicherheitslücke mitsamt Proof-of-Concept zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Fusionsreaktor Iter
    Das Eine-Million-Teile-Puzzle in der entscheidenden Phase
  2. Sentry Mode
    Ist Teslas Wächtermodus illegal?
  3. Bestandsdaten
    Justizministerin hält an Passwortherausgabe fest
  4. Datenverkauf
    Avast überwacht den Browser und verkauft Nutzerdaten
  5. Online-Boom
    Telekom schliesst viele ihrer Shops und baut Stellen ab
Anzeige
Hardware-Angebote
  3. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Hmmm.
Truster 16. Apr 2019

Ich weiß jetzt nicht, wo hier die Sensation liegt. Da tue ich mir mit einer .doc Datei...

Re: Die NSA braucht die Lücke noch...
Anonymer Nutzer 15. Apr 2019

ich glaube auch, oder bearbeiter des tickets hat voll gepennt ... interessant wäre ob es...

Re: Nur wenn man vorher weiß welche Datei
Grob Notoriker 15. Apr 2019

Hmmm - unter Win7 64b geht da nix...

Folgen Sie uns
       
Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
SpaceX
SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest
AMD Navi
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht
Citrix
Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /