Original-URL des Artikels: https://www.golem.de/news/zero-day-internet-explorer-erlaubt-auslesen-von-dateien-1904-140677.html    Veröffentlicht: 15.04.2019 11:52    Kurz-URL: https://glm.io/140677

Zero-Day

Internet Explorer erlaubt Auslesen von Dateien

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Über eine Sicherheitslücke im Internet Explorer lassen sich mit Hilfe von präparierten MHT-Dateien beliebige Dateien eines Nutzers auslesen. Microsoft möchte die Zero-Day-Sicherheitslücke vorerst nicht schließen. Der Sicherheitsforscher John Page hatte die Sicherheitslücke entdeckt und nun mangels Reaktion von Microsoft veröffentlicht. Windows-Nutzer sollten vorerst lieber keine MHT-Dateien öffnen.

Werden mit dem Internet Explorer Webseiten lokal abgespeichert, werden diese als MHTML-Webarchive gespeichert. Diese MHT-Dateien werden standardmäßig mit dem Internet Explorer geöffnet, auch bei Nutzern, die in ihrem Surfalltag auf Edge, Chrome oder Firefox setzen. Entsprechend reicht es für den Angriff, wenn ein Nutzer eine MHT-Datei öffnet - auch in aktuellen Windows-Installationen mit Windows 7 oder 10 mit Internet Explorer 11.

Mit präparierten MHT-Dateien lässt sich ein Fehler in der Behandlung von XML-Objekten ausnutzen, eine sogenannte XXE-Lücke (XML External Entity). Durch diesen lassen sich beliebige Dateien eines Windows-Systems auslesen und auf einen Webserver übertragen.

<#youtube id="fbLNbCjgJeY">

Microsoft will das Problem vorerst nicht lösen

Der Sicherheitsforscher hatte die Lücke nach eigenen Angaben bereits im März entdeckt und an Microsoft gemeldet. Am 10. April habe Microsoft ihm folgendes Statement geschickt: "Wir haben uns dazu entschlossen, die Sicherheitslücke in einer zukünftigen Version des Produktes oder Dienstes zu schließen. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Problembehebung veröffentlichen. Wir haben diesen Fall geschlossen." Daraufhin entschloss sich Page, die Sicherheitslücke mitsamt Proof-of-Concept zu veröffentlichen.  (mtr)


Verwandte Artikel:
Windows: Microsoft bringt Patch gegen Lücke im Internet Explorer   
(20.12.2018, https://glm.io/138344 )
Sicherheitslücke: Huawei-Treiber verwendet gleiche Technik wie NSA   
(27.03.2019, https://glm.io/140291 )
Microsoft: März-Patchday schließt 18 kritische Sicherheitslücken   
(13.03.2019, https://glm.io/139991 )
Noch kein Update: Google warnt vor aktiv ausgenutzter Lücke in Windows 7   
(08.03.2019, https://glm.io/139879 )
Windows Patch Day: Microsoft behebt etwa 70 Sicherheitslücken in Windows 10   
(13.02.2019, https://glm.io/139364 )

© 1997–2019 Golem.de, https://www.golem.de/