Gefährliche Sicherheitslücke im Internet Explorer gefunden

Diskutiere Gefährliche Sicherheitslücke im Internet Explorer gefunden im IT-News Forum im Bereich IT-News; Angreifer können beliebigen Programmcode ausführen Kurz nach Microsofts monatlichem Patch-Day wurde nun ein schweres Sicherheitsloch im Internet...
#1
copy02

copy02

News Master
Threadstarter
Team
Dabei seit
11.02.2005
Beiträge
6.493
Alter
42
Ort
Im Wilden Nordwesten an der Nordsee
Angreifer können beliebigen Programmcode ausführen

Kurz nach Microsofts monatlichem Patch-Day wurde nun ein schweres Sicherheitsloch im Internet Explorer gefunden. Angreifer können über eine manipulierte Webseite beliebigen Programmcode auf fremde Systeme schleusen und diese so unter Umständen komplett übernehmen. Bislang ist kein Patch zur Abhilfe veröffentlicht worden.


Der polnische Sicherheitsexperte Michal Zalewski berichtet, dass etwa über manipulierte oder auch ausgedachte Script-Action-Handlers der Browser zum Absturz gebracht werden kann. Je nach Angriffsszenario kann darüber aber auch Programmcode ausgeführt werden, um so möglicherweise eine umfassende Kontrolle über ein fremdes System zu erlangen.

Das Sicherheitsloch steckt in der Internet-Explorer-Komponente mshtml.dll, die unter anderem die Verarbeitung von Script-Action-Handlern übernimmt, die beliebigen HTML-Tags zugewiesen werden können. Durch einen Programmfehler werden die Script-Action-Handler nicht korrekt geprüft und Angreifer können so etwa Programmcode in unerlaubte Speicherbereiche schreiben und von dort ausführen.

Abhängig von der Seitenstruktur oder der verwendeten Browser-Erweiterung kommt es unter Umständen auch nur zum Absturz des Internet Explorer. Nach Angaben des Entdeckers dieses Sicherheitslochs hängt es von verschiedenen Kriterien ab, wie sich der Programmfehler auswirkt.

Eine Beispielseite demonstriert den Fehler und bringt den Internet Explorer gezielt zum Absturz. Das Sicherheitsloch wurde für den Internet Explorer 6 unter Windows XP mit installiertem Service Pack 2 bestätigt. Bislang bietet Microsoft keinen Patch an, um das Sicherheitsleck zu schließen.

Quelle: Golem.de
 
#2
msueper

msueper

Dabei seit
20.01.2005
Beiträge
1.634
Wer den IE noch für mehr als den Windows Update nutzt hat echt die letzte Zeit nicht die News gelesen... Da wird ihm dann diese Warnung auch nicht mehr helfen, fürchte ich.

Wann merkt MS endlich mal, dass die Anzahl der Fehler je 1000 Programmzeilen praktisch konstant ist, von Design Fehlern mal ganz zu schweigen. Jeder Patch bringt neue Bugs. Das hört so nie auf. Der einzige Weg ist, konsequent schlanke Programme zu nutzen, wie Opera oder Firefox.
 
#3
T

Tikonteroga

Dabei seit
23.05.2005
Beiträge
1.969
Die Warscheinlichkeit, dass sich das mit dem Internet Explorer 7 ändert bzw. bessert ist sehr groß.

In Firefox oder Opera gibt es bestimmt ähnlich viele Sicherheitslücken, nur sind diese nicht bekannt. Da diese Browser weniger genutzt werden, als der Internet Explorer, werden in diesen weniger Sicherheitslücken entdeckt. Das von dem Browser (Internet Explorer) mit der höchsten Verbreitung auch die meisten Sicherheitslücken bekannt sind bzw. von dem unter den hier genannten dreien am wenigsten genutzte Browser (Opera) die wenigsten Sicherheitslücken bekannt sind, ist wohl kein Zufall.

Gruß

Tikonteroga
 
#4
HeinBloed

HeinBloed

Dabei seit
03.09.2005
Beiträge
220
Alter
59
Genau darum gehe ich über den Opera ins Netz! Solange die Sicherheitslücken, die auch der zweifellos hat, nicht entdeckt sind, wird sie auch niemand ausnutzen! :D
 
#5
MountWalker

MountWalker

Dabei seit
16.07.2004
Beiträge
308
Man sollte zur News bitte noch dazu sagen, dass es der superduper "Sicherheitsexperte" Michal Zalewski nicht für nötig erachtet hat MS über die Lücke zu informaieren, bevor er sie publiziert hat und er häklt es auch nicht für notwendig den Leuten zui erklähren, welche Funtion man in den internet Optionen des IE abschalten muss um die Lücke auszuschließen, obwohl es abschaltbar sein muss, da schopn einige Leute aufgetaucht sind, beio denen nichts passiert, wo also die Funktion deaktiviert zu sein scheint - naja, macht dem Vorurteil gegen Polen halt alle Ehre.

Übnrigens ist es Blödsinn zu behaupten in Firegfox würden wegen geringer Verbreitung weniger Probleme bekannt werden, denn schonsseit Stunde 1 suchen bei Mozilla weitaus mehr Leute nach eventuellen Sicherheitslücken und Problemen, als dies bei IE je der Fall war - so ist das eben bei beliebter FLOSS.
 
#6
M

myoto

Gast
ZITAT(MountWalker @ 19.03.2006, 15:52) Quoted post
Man sollte zur News bitte noch dazu sagen, dass es der superduper "Sicherheitsexperte" Michal Zalewski nicht für nötig erachtet hat MS über die Lücke zu informaieren, bevor er sie publiziert hat und er häklt es auch nicht für notwendig den Leuten zui erklähren, welche Funtion man in den internet Optionen des IE abschalten muss um die Lücke auszuschließen, obwohl es abschaltbar sein muss, da schopn einige Leute aufgetaucht sind, beio denen nichts passiert, wo also die Funktion deaktiviert zu sein scheint - naja, macht dem Vorurteil gegen Polen halt alle Ehre.

Übnrigens ist es Blödsinn zu behaupten in Firegfox würden wegen geringer Verbreitung weniger Probleme bekannt werden, denn schonsseit Stunde 1 suchen bei Mozilla weitaus mehr Leute nach eventuellen Sicherheitslücken und Problemen, als dies bei IE je der Fall war - so ist das eben bei beliebter FLOSS.
[/b]
Denk mal an den Blaster-Virus ... Microsoft hat die Info bekommen und nichts gemacht, geschlagene 6 Monate lang... Erst als der Blaster kam, da haben sie eingegriffen, weil es da bekannt wurde. Vorher lag nur die Lücke offen, aber sie hatten es scheinbar nicht nötig diese zu schliessen...


Ausserdem, wieso sollte eine so große Firma einem kleinen Mann aus Polen Beachtung schenken?
 
#7
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Microsoft zögert das immer gerne hinaus.
 
Thema:

Gefährliche Sicherheitslücke im Internet Explorer gefunden

Gefährliche Sicherheitslücke im Internet Explorer gefunden - Ähnliche Themen

  • Firefox für Android: Update schließt gefährliche Sicherheitslücke

    Firefox für Android: Update schließt gefährliche Sicherheitslücke: Firefox zählt auch auf einem Android Smartphone zu den beliebtesten Alternativen zum vorinstallierten Google Chrome. Doch alle bisherigen...
  • Quicktime Update beseitigt 14 gefährliche Sicherheitslücken

    Quicktime Update beseitigt 14 gefährliche Sicherheitslücken: Apple hat Quicktime 7.6.9 für Windows und Mac OS X veröffentlicht. Mit dem Update werden 15 Sicherheitslecks beseitigt, davon 14 gefährliche. 13...
  • Gefährliche Sicherheitslücke in Opera

    Gefährliche Sicherheitslücke in Opera: Hier geht es weiter. Powerd by Heise Online
  • Firefox 3.0.7 schließt gefährliche Sicherheitslücken

    Firefox 3.0.7 schließt gefährliche Sicherheitslücken: Thunderbird und SeaMonkey sind ebenfalls betroffen Die Version 3.0.7 von Firefox beseitigt mehrere Sicherheitslücken, wovon die Mehrzahl zur...
  • Gefährliche Sicherheitslücke in Safari

    Gefährliche Sicherheitslücke in Safari: Unter Mac OS X 10.5 und Windows Wie The Register meldet , hat ein Software-Entwickler einen Fehler im Apple-Browser Safari entdeckt, der...
  • Ähnliche Themen

    Oben