Internet Explorer

Zahlreiche Sicherheitslücken im Windows XP Service Pack 2. Wie bereits angekündigt, knöpft sich Microsoft am Patch-Day des Monats Februar 2005 gleich mehrere Windows-Sicherheitslücken vor. Eine Reihe davon werden zu Recht als gefährlich eingestuft, weil sich darüber beliebiger Programmcode auf fremde Systeme schleusen und häufig unbemerkt vom Opfer ausführen lässt. Dadurch kann sich ein Angreifer im schlimmsten Fall eine umfassende Kontrolle über ein fremdes System verschaffen. Nahezu alle in Windows XP gefundenen Sicherheitslücken stecken ebenfalls im Service Pack 2.

Fehler in der Implementierung der International Domain Names (IDN). Die in mehreren Browsern enthaltene Unterstützung der International Domain Names (IDN) enthält einen Fehler, worüber Phishing-Attacken vorgenommen werden können. Von dem Sicherheitsproblem sind alle Web-Browser betroffen, die Umlaut-Domains verarbeiten. Da dies Microsofts Internet Explorer auch knapp ein Jahr nach der Einführung der Umlaut-Domains nicht beherrscht, ist der Browser in der Standardausführung nicht davon betroffen.

Drei Monate altes Sicherheitsleck im Internet Explorer weiterhin offen. Am Patch-Day im Januar 2005 hat sich Microsoft ein aus dem Dezember 2004 stammendes Sicherheitsloch im Internet Explorer vorgeknöpft sowie zwei bislang nicht bekannte Sicherheitslücken innerhalb von Windows geschlossen. Das seit Oktober 2004 bekannte Sicherheitsleck in Microsofts Browser bleibt hingegen weiterhin offen - vor wenigen Tagen wurde ein erster Exploit dafür entdeckt.

Auch Systeme mit Service Pack 2 für Windows XP betroffen. Wie das Internet Storm Center berichtet, wurde den Sicherheitsfachleuten ein Exploit eines mehrere Monate alten Sicherheitslochs im Internet Explorer gemeldet. Die Cross-Site-Scripting-Lücke in Microsofts Browser erlaubt es einem Angreifer, beliebigen Programmcode auf einem fremden System auszuführen und sich so eine umfassende Kontrolle darüber zu verschaffen. Einen Patch bietet Microsoft bislang nicht an.

Angreifer können Dateien in beliebigem Verzeichnis ablegen. In der ftp-Funktion vom Internet Explorer 6.0 wurde ein Sicherheitsleck entdeckt, worüber Angreifer Dateien in beliebigen Verzeichnissen ablegen können, was etwa dazu missbraucht werden kann, wichtige Dateien zu überschreiben. Zur Ausnutzung der Sicherheitsanfälligkeit müssen Dateien auf einem ftp-Server entsprechend präpariert werden.

Als Evita.de-Preisvergleich getarnte Website installiert Trojaner. Wer in der beliebten Suchmaschine Google das Stichwort Preisvergleich eingibt, könnte Opfer eines Trojanischen Pferdes werden: Die rechts neben den Suchergebnissen eingeblendete, zum Suchbegriff passende Werbung enthält derzeit auch einen Link auf eine böswillige Website, die Internet-Explorer-Nutzer sofort mit der automatischen Installation eines Trojaners "beglücken" will.

Shareware für 9,90 Euro. Das Browser-Add-On 4c der euris 4c GmbH soll dem Internet Explorer eine visuelle Navigation ermöglichen. Mittels kleiner Vorschaubilder der jeweiligen Webseiten soll man sich so mit einer besseren Gedächtnisstütze an schon besuchte Seiten erinnern können als nur mit der reinen URL bewaffnet.

Kombination ungepatchter Lücken im Internet Explorer bedroht Windows-Systeme. Michael Evanchik weist zusammen mit "Paul von Greyhats Security" auf eine Sicherheitslücke hin, mit der Windows-Systeme beim bloßen Betrachten von präparierten Webseiten per Internet Explorer infiziert werden können. Dabei handelt es sich eigentlich um keine neue Sicherheitslücke, vielmehr um eine Kombination bereits bekannter Sicherheitslücken, die auch das Service Pack 2 für Windows XP nicht schließt.

Microsoft verlegt Patch-Day für den Dezember 2004 vor. Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.

Neue Netscape-Version nur noch für Windows? In einer aktuellen Vorabversion einer neuen Netscape-Version kann man erstmals in dem Browser wahlweise mit der Gecko-Engine von Mozilla oder mit dem Internet Explorer durch das Internet surfen. Wie bereits berichtet, dient Firefox der neuen Netscape-Version als Basis, während zuvor die Mozilla-Suite die Grundlage früherer Netscape-Versionen war.

Immer noch kein Patch für den Internet Explorer 6.0 erschienen. Etliche seriöse Webseiten haben seit dem Wochenende den als MyDoom.AI respektive Bofra bezeichneten Wurm verbreitet, der sich über Ad-Server in die Seiten eingeschleust hatte und so Systeme infizierte, wenn die betreffenden Seiten mit dem aktuellen Internet Explorer 6.0 besucht wurden. Der für die Wurm-Verbreitung verantwortliche Ad-Server von Falk wurde anscheinend von Hackern gehackt.

Kommender Internet Explorer nicht für ältere Windows-Plattform geplant. Eine neue Version vom Internet Explorer wird Microsoft nur zusammen mit der neuen Windows-Version Longhorn ausliefern, so dass man nur durch den Kauf einer Windows-Lizenz eine aktuelle Version des Browsers erhält. Einen eigenständigen Browser für andere Windows-Versionen wird es also nicht geben, bekräftigte Microsoft gegenüber dem US-Magazin CNet.com.

Sicherheitslücke im Internet Explorer erlaubt das Tarnen von Programmdateien. Durch einen Programmfehler im aktuellen Internet Explorer lässt sich laut Secunia.com ein Sicherheitsmechanismus vom Service Pack 2 für Windows XP aushebeln, um eine bösartige Programmdatei als HTML-Datei zu tarnen. So können Nutzer dazu gebracht werden, ausführbare Programmdateien zu laden, obwohl sie dahinter unverdächtige HTML-Daten vermuten. Spezielle Sicherheitsfunktionen im Service Pack 2 sollten derartige Möglichkeiten eigentlich unmöglich machen.

Nutzer vom Internet Explorer wollen kein Tabbed-Browsing. Kurz nach der Veröffentlichung des Open-Source-Browsers Firefox 1.0 veranstaltete Microsoft im australischen Sydney eine Sicherheitsveranstaltung, bei der unter anderem die Sicherheit vom Internet Explorer ein Thema war. Microsoft meinte bei der Gelegenheit, dass der Internet Explorer nicht weniger sicher als andere Browser sei. Auch der Funktionsumfang vom Internet Explorer wurde bei der Gelegenheit thematisiert.

Golem.de im Gespräch mit Opera-CEO Jon S. von Tetzchner über den Browser-Markt. Seit Jahren schafft es das kleine norwegische Unternehmen Opera einen kommerziell erfolgreichen Browser anzubieten. Mit Firefox gerät der Browser-Markt langsam wieder in Bewegung und auch Opera zeigt sich über die Erfolge des Open-Source-Browsers erfreut. Im Interview mit Golem.de spricht Opera-CEO Jon S. von Tetzchner über Microsoft, Firefox und die Möglichkeiten, Opera als Open Source anzubieten. In einem zweiten Teil des Gesprächs, der am Donnerstag den 11. November 2004 folgt, spricht von Tetzchner über den Browser-Markt auf Handys und anderen mobilen Endgeräten sowie der Zukunft von Web-Standards und Browsern.

IFRAME-Sicherheitsloch schleust Wurm-Code automatisch ein. Das Anfang September 2004 entdeckte IFRAME-Sicherheitsloch im Internet Explorer wird mittlerweile bereits von zwei Ablegern des MyDoom-Wurms ausgenutzt, um darüber andere Systeme zu infizieren. Auf einem anfälligen System muss ein Opfer nur zum Öffnen eines Links gebracht werden, was den Wurm dann über den Internet Explorer in das System schleust.

Sicherheitslücke erlaubt Angreifern Ausführung von Programmcode. Eine neu entdeckte Sicherheitslücke im Internet Explorer gestattet Angreifern das Ausführen von Programmcode, wenn eine präparierte Webseite mit Microsofts Browser geöffnet wird. Auf der Bugtraq-Mailingliste ist bereits ein Exploit für dieses Sicherheitsloch aufgetaucht, weshalb die Sicherheitsexperten von Secunia das Risiko als gefährlich hoch einstufen.

Sicherheitsloch umgeht Sicherheitsfunktion im Windows XP Service Pack 2. Der Sicherheitsexperte mit dem Pseudonym http-equiv hat erneut zwei Schwachstellen in Microsofts Internet Explorer aufgespürt, worüber ein Angreifer eine weit reichende Kontrolle über ein fremdes System erlangen kann. Darüber lässt sich auch eine mit dem Service Pack 2 für Windows XP eingeführte Sicherheitsfunktion aushebeln, die eigentlich den Internet Explorer besser vor derartigen Attacken schützen sollte.

Sicherheitslöcher gestatten das Abschöpfen vertraulicher Daten. Das Sicherheitsunternehmen Secunia hat in zahlreichen Web-Browsern zwei Sicherheitslücken in den Tabbed-Browsing-Funktionen der betreffenden Applikationen entdeckt, worüber Angreifer sich Zugang zu vertraulichen Informationen verschaffen können. Auch der Internet Explorer ist von diesen Sicherheitslöchern betroffen, wenn ein Browser-Aufsatz mit Tabbed-Browsing-Funktionen verwendet wird.

Desktop-Suche wird keine Eigenentwicklung von AOL sein. AOL arbeitet derzeit ebenfalls an einer Desktop-Suche, wie sie etwa Google am gestrigen 14. Oktober 2004 vorgestellt hat. Genaue Details zur Arbeitsweise wollte AOL noch nicht nennen und verwies nur darauf, dass ein entsprechender AOL-Browser Anfang November 2004 erscheinen werde.

...wenn man keine Software anderer Hersteller aus dem Internet lädt. Für Bill Gates gäbe es im Internet Explorer keine Sicherheitslücken, wenn Nutzer keine Software anderer Hersteller aus dem Internet laden würden. Diesen Standpunkt vertritt der Microsoft-Chairman zumindest in einem Gespräch mit der amerikanischen Boulevard-Zeitung USA Today.

Ein Großteil der Sicherheitsleck bereits mit Windows XP SP2 behoben. Neben der Vielzahl an Sicherheits-Patches für verschiedene Windows-Systeme veröffentlicht Microsoft am Oktober-2004-Patch-Day auch einen Patch für den Internet Explorer 5.x und 6.x, womit insgesamt acht Sicherheitslöcher behoben werden, wovon drei zur Ausführung beliebigen Programmcodes genutzt werden können und somit als sehr gefährlich einzustufen sind.

Angreifer können Daten auf anderen Webseiten auslesen. Im Internet Explorer wurde eine bereits seit zwei Jahren geschlossen geglaubte Sicherheitslücke gefunden, die Angreifern das Ausspähen von Daten erlaubt. Der bulgarische Sicherheitsspezialist Georgi Guninski hat dieses Sicherheitsleck erneut entdeckt, nachdem es ursprünglich im Februar 2002 von GreyMagic Software aufgedeckt und von Microsoft im August 2002 mit einem passenden Patch bedacht wurde.

AOL Browser arbeitet unabhängig von AOLs Online-Dienst. AOL werkelt derzeit an einem eigenständigen Web-Browser, der auf Microsofts Internet Explorer beruhen und ohne zwingende Anbindung an AOLs Netzwerk auskommen soll, berichtet das US-News-Magazin eWeek.com mit Verweis auf Unternehmenskreise.

Sind die neuen Sicherheitsfunktionen des WinXP SP2 Sicherheitsupdates? Microsoft will nur noch Sicherheitsupdates für den Internet Explorer unter Windows XP Service Pack 2 anbieten, Nutzer älterer Windows-Versionen sollen außen vor bleiben, berichtet C|Net unter Berufung auf Microsoft. Die im Artikel zitierten Aussagen kann man aber auch gegenteilig deuten.

Entdecker des JPEG-Sicherheitslochs hat Microsoft im Oktober 2003 informiert. Einen Tag bevor Microsoft vor nun fast einem Jahr eine neue Sicherheitsstrategie bekannt gab, wurde das Unternehmen über das JPEG-Sicherheitsloch in zahlreichen Microsoft-Produkten informiert - und stellte erst rund elf Monate später in der vergangenen Woche einen Patch zur Behebung des Problems zur Verfügung.

Schwerwiegende Sicherheitslücke bei Verarbeitung von JPEG-Dateien. Bei der Anzeige von JPEG-Dateien schlägt in zahlreichen Microsoft-Applikationen eine schwerwiegende Sicherheitslücke zu, die einem Angreifer die vollständige Kontrolle über ein fremdes System verschafft, sofern das angemeldete Opfer über Administratorrechte verfügt. Am September-2004-Patch-Day veröffentlichte Microsoft Patches für eine Reihe von Microsoft-Produkten, die alle von dem Sicherheitsrisiko betroffen sind.

Bundesamt für Sicherheit in der Informationstechnik gegen Monokultur. Gegenüber der Berliner Zeitung empfahl Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Nutzern von Microsofts Internet Explorer indirekt den Umstieg auf andere Web-Browser wie Mozilla oder Opera.

Popup-Blocker muss nachträglich manuell vom Anwender konfiguriert werden. In einem Knowledge-Base-Artikel räumt Microsoft ein, dass der mit dem Service Pack 2 in Windows XP integrierte Popup-Blocker für den Internet Explorer gelegentlich zu restriktiv zu Werke geht. Denn in der Grundeinstellung kann es passieren, dass die betriebssystemeigene Update-Funktion wegen des Popup-Blockers ihren Dienst verweigert.

Angreifer schleusen Programmcode mit Drag-and-Drop-Operation ein. Wie das Internet Storm Center zu berichten weiß, wird das jüngst entdeckte Drag-and-Drop-Sicherheitsloch im Internet Explorer anscheinend bereits von Angreifern ausgenutzt. Nähere Details zu diesen Angriffsszenarien wurden allerdings nicht genannt, so dass der mögliche Schaden nicht bekannt ist.

Drag-and-Drop-Operation erlaubt Einschleusung von Code. In Microsofts Internet Explorer wurde ein Sicherheitsloch entdeckt, das die Einschleusung von Programmcode erlaubt, wenn Drag-and-Drop-Operationen ausgeführt werden.

Aktualisierung von Windows XP über Windows Update 5.0 funktionierte nicht. Bei der Bereitstellung des Sicherheits-Patches für den Internet Explorer vom 30. Juli 2004 ist Microsoft ein kleiner Fehler unterlaufen, bei dem das neue Windows Update 5.0 im Zusammenspiel mit Windows XP nicht mit dem aktuellen Sicherheits-Patch bestückt wurde. Dieser Fehler wurde nun bereinigt, so dass der Sicherheits-Patch auch darüber zum Download bereit steht.

Kritische Sicherheitsupdates außer der Reihe. Außer der Reihe der üblichen vierwöchigen Sicherheitsupdates hat Microsoft am Abend des 30. Juli 2004 drei Sicherheitsupdates für kritische Sicherheitslücken im Internet Explorer veröffentlicht, darunter auch für die als Download.Ject bekannt gewordene Sicherheitslücke.

Microsoft will Download-Ject-Sicherheitsproblem beseitigen. Microsoft arbeitet derzeit an einem Patch für den Internet Explorer, welcher das Sicherheitsproblem Download-Ject beseitigen soll, berichtet das US-News-Magazin eWeek.com. Allerdings wird dieser Patch nicht zu dem üblichen monatlichen Patch-Day erscheinen, sondern Microsoft will diesen bereits gesondert in der kommenden, ersten August-Woche bereitstellen.

Weblogs und Wiki vom Entwickler-Team des Internet Explorer. Mitarbeiter aus dem Programmierer-Team für Microsofts Internet Explorer haben in dieser Woche Weblogs sowie ein Wiki eröffnet, um darüber stärker in Kontakt mit den Anwendern zu treten. Nur wenige Tage später waren die Betreiber allerdings gezwungen, Verhaltensregeln für die Kommentare in den betreffenden Weblogs aufzustellen, um unter anderem beleidigende und ordinäre Äußerungen zu unterbinden.

Überarbeitete Google Toolbar vervollständigt auch Webseitenadressen automatisch. Google hat seine Google Toolbar für den Internet Explorer überarbeitet und bietet ab sofort eine neue Version zum Download an. Als Neuerung wurde nun die Möglichkeit integriert, dass Begriffe direkt eingegeben werden können und Google versucht, dazu die passende Webseite zu finden. Außerdem werden damit Webseiten-Adressen bei der Eingabe vervollständigt.

Maxthon erweitert IE um Tabbed-Browsing, Mausgesten und Pop-Up-Killer. Die kostenlose Erweiterung MyIE2 für den Internet Explorer erhält mit Maxthon einen neuen Namen und hat die Version 1.0 erreicht. Mit Maxthon erhält der Internet Explorer viele Komfortfunktionen wie Tabbed-Browsing, Pop-Up-Killer oder Mausgesten, die andere Browser schon länger kennen.

Abschaltung des Adodb.stream-Objektes nicht ausreichend. Auf der Sicherheits-Mailingliste Full Disclosure weisen mehrere Experten übereinstimmend darauf hin, dass die von Microsoft in Form eines Patches kürzlich bereitgestellte Umkonfiguration des Internet Explorer den Browser kaum sicherer gemacht habe. Mit der Abschaltung des Adodb.stream-Objektes wurde nur eine Unsicherheit im Browser behoben; Funktionen mit ähnlichen Möglichkeiten stünden weiterhin im Internet Explorer bereit.

US-CERT empfiehlt gegen IE-Sicherheitslücke Einsatz anderer Browser. Nachdem das US-CERT anlässlich eines Sicherheitslecks im Internet Explorer aus der jüngsten Vergangenheit empfohlen hatte, statt des Internet Explorers einen anderen Browser zu verwenden, steigerte dies die Download-Zahlen von Mozilla. Zahlreiche US-Medien hatten die Empfehlungen des US-CERT übernommen und an ihre Leserschaft weitergereicht.

Patch deaktiviert ein beständiges Sicherheitsrisiko im Internet Explorer. Ungewöhnlich offensiv kommuniziert Microsoft per Pressemitteilung eine als Patch erschienene Modifikation für den Internet Explorer, wodurch eine zentrale Browser-Funktion deaktiviert wird. Damit schlägt Redmond einen neuen Weg ein, indem ein im Browser schlummerndes Sicherheitsrisiko abgeschaltet und entsprechenden Angriffen der Nährboden entzogen wird, anstatt wie bisher üblich neu gefundene Sicherheitslücken mit jeweils anderen Patches zu beheben.

Netscape, Mozilla, Firefox, Opera, Safari, Konqueror und IE betroffen. Nach einem Beitrag auf der Sicherheitsseite Secunia.com befindet sich die Sicherheitslücke zur Verhinderung von Cross-Domain-Zugriffen nicht nur wie zunächst angenommen im aktuellen Internet Explorer, sondern wurde in den meisten aktuellen Browsern entdeckt. Das Sicherheitsleck erlaubt es Angreifern, bei mehr als einem geöffneten Browser-Fenster gefälschte Inhalte in einer Frame-Seite anzuzeigen und dem Nutzer so eine andere Herkunft der Daten vorzugaukeln.

Internet Explorer 6 erlaubt Cross-Domain-Zugriffe. Der aktuelle Internet Explorer 6 mit allen verfügbaren Patches weist eine Sicherheitslücke auf, die bereits 1998 für den seligen Internet Explorer 3 und 4 bereinigt, aber in aktuellen Browser-Versionen aus Redmond wieder entdeckt wurde. Einen Patch bietet Microsoft derzeit nicht an.

Trojanisches Pferd nutzt Sicherheitslücke im Internet Explorer. Wie das Internet Storm Center berichtet, entdeckten sie ein neues Trojanisches Pferd, das sich mit Hilfe von Pop-Up-Fenstern sowie durch Ausnutzung einer Sicherheitslücke im Internet Explorer auf fremden Systemen einnistet. Das Trojanische Pferd liest dann gezielt Zugangsdaten zu Bankkonten der Sparkasse, der Deutschen Bank und der Citibank aus.