Original-URL des Artikels: https://www.golem.de/0604/44666.html    Veröffentlicht: 12.04.2006 10:48    Kurz-URL: https://glm.io/44666

Sammel-Patch schließt zehn Löcher im Internet Explorer

Microsoft beseitigt drei im März 2006 bekannt gewordene Sicherheitslücken

Microsoft schließt am Patch-Day vom April 2006 mit einem aktuellen Sammel-Patch drei im März 2006 bekannt gewordene Sicherheitslücken im Internet Explorer. Für eines der Sicherheitslecks kursiert bereits Schadcode im Internet und es gab zwei inoffizielle Patches, die das Problem übergangsweise beseitigen sollten. Der aktuelle Sammel-Patch für den Internet Explorer schließt sieben weitere Sicherheitslöcher, die in der Mehrzahl als gefährlich eingestuft werden.

Vor mittlerweile rund zwei Wochen wurde die createTextRange()-Sicherheitslücke im Internet Explorer bekannt, über die Angreifer beliebigen Programmcode auf fremde Systeme schleusen können. Kurze Zeit später wurde bereits Schadcode im Internet entdeckt, der sich das Sicherheitsleck zu Nutze macht.

Eine gute Woche nach Bekanntwerden der Sicherheitslücke im Internet Explorer haben die beiden IT-Sicherheitsunternehmen eEye und Determina jeweils inoffizielle Patches veröffentlicht. Mit beiden Patches soll sich das Sicherheitsleck schließen lassen, ohne auf die Notlösung zurückzugreifen, Active Scripting im Internet Explorer komplett abzuschalten. Der aktuelle Patch soll das Sicherheitsloch im Internet Explorer nun endgültig schließen.

Zudem beseitigt der Sammel-Patch für den Internet Explorer zwei weitere im März 2006 bekannt gewordene Sicherheitslücken. Das eine Sicherheitsloch steckt in der Internet-Explorer-Komponente mshtml.dll, die unter anderem die Verarbeitung von Script-Action-Handlern übernimmt, die beliebigen HTML-Tags zugewiesen werden können. Durch einen Programmfehler werden die Script-Action-Handler nicht korrekt geprüft und Angreifer können so etwa Programmcode ausführen.

Auch das dritte seit März 2006 bekannte Sicherheitsloch in Microsofts Browser wird mit dem Patch nun geschlossen. Das Sicherheitsleck im Internet Explorer führt HTA-Dateien aus, wenn eine entsprechend präparierte HTML-Datei mit Microsofts Browser geöffnet wird. Der Nutzer wird nicht - wie sonst üblich - vor dem Start der HTA-Daten um Erlaubnis gefragt. Bei HTA handelt es sich quasi um HTML-Programme, die Daten lesen und schreiben können.

Ein vierter Fehler im Internet Explorer prüft HTML-Daten nicht korrekt und ein fünftes Sicherheitsloch tritt bei der Verarbeitung von COM-Objekten als ActiveX-Steuerelement auf, während das sechste Leck den Browser durcheinander bringt, wenn HTML-Elemente mit einem bestimmten Tag versehen sind. Zudem bringen Doppel-Byte-Zeichen in URLs Microsofts Browser aus dem Tritt, wie sie etwa in asiatischen Sprachen zum Einsatz kommen. Alle oben genannten Sicherheitslecks im Internet Explorer lassen sich von Angreifern dazu missbrauchen, Programmcode auf fremden Systemen auszuführen. Damit können Angreifer eine umfassende Kontrolle über fremde Rechner erhalten.

Das achte Sicherheitsloch im Internet Explorer tritt bei der dynamischen Erstellung eines eingebetteten Objekts auf, das falsche IOleClientSite-Informationen zurückgibt, womit etwa Programme eingeschleust, Daten eingesehen oder neue Konten erstellt werden können. Der aktuelle Patch schließt eine neunte Sicherheitslücke, worüber Angreifer Spoofing-Attacken fahren oder etwa Cookie-Dateien auslesen können. Das letzte mit dem aktuellen Patch zu schließende Sicherheitsleck im Internet Explorer kann für Spoofing-Angriffe missbraucht werden, um gefälschte Inhalte in einem Browser-Fenster anzuzeigen.

Mit einem Sammel-Patch sollen alle hier beschriebenen Sicherheitslücken im Internet Explorer ab der Version 5.01 geschlossen werden. Der Patch wird auch über die Aktualisierungsfunktion des Betriebssystems angeboten.

Dieser Sammel-Patch für den Internet Explorer verändert zudem den Umgang mit ActiveX. Noch bis Juni 2006 bietet Microsoft ein Kompatibilitäts-Update an, um die bald obligatorische ActiveX-Änderung bis dahin zu umgehen. Seit März 2006 stellt Microsoft bereits ein Update für den Internet Explorer bereit, das die notwendigen Änderungen durch das Eolas-Patent umsetzt. Mit dem aktuellen Sammel-Patch für den Internet Explorer hält die ActiveX-Änderung erstmals Einzug in ein Sicherheits-Update. Die ActiveX-Modifikationen sorgen dafür, dass die Ausführung von ActiveX-Controls erst vom Anwender bestätigt werden muss, sofern diese über "APPLET", "EMBED" oder "OBJECT" geladen werden. Der Patentinhaber Eolas hätte sich gewünscht, dass Microsoft eine Patentlizenz erwirbt anstatt den Internet Explorer zu verändern. Nach Ansicht von Eolas sei das Verhalten Microsofts eine "Enttäuschung" und "Schande", weil damit die Bedienbarkeit des Internet Explorer eingeschränkt werde.

Darüber hinaus hat Microsoft Patches für Windows, Outlook Express und die FrontPage-Server-Erweiterungen am Patch-Day für den aktuellen Monat veröffentlicht. Mehr dazu in dem betreffenden Bericht.  (ip)


Verwandte Artikel:
Eolas: ActiveX-Änderung am Internet Explorer ist peinlich   
(03.04.2006, https://glm.io/44415 )
Internet Explorer: Sicherheits-Patch wird ActiveX verändern   
(30.03.2006, https://glm.io/44360 )
Internet Explorer: Zweiter inoffizieller Sicherheits-Patch   
(29.03.2006, https://glm.io/44326 )
Sicherheitsunternehmen springt für Microsoft in die Bresche   
(28.03.2006, https://glm.io/44304 )
Internet Explorer: Webseiten nutzen Sicherheitslücke aus   
(27.03.2006, https://glm.io/44272 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft - Security Bulletin MS06-013: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-013.mspx
Microsoft (.com): http://www.microsoft.com

© 1997–2019 Golem.de, https://www.golem.de/