Startseite

Die Mitglieder des PDS-Clan

Werdet PDS-Clan-Mitglied!

Downloads (Maps, Logos etc.)

Bilder

Electronic Sports League


Login or Register
PDS-Board»PC»Software»noch mehr sicherheitslecks, diesma IE5,5.5,6
21.8.2003 12:11noch mehr sicherheitslecks, diesma IE5,5.5,6
MechanimaL
Super Moderator
Beiträge: 8064
dabei seit: 10.11.2002

Abermals gefährliche Sicherheitslecks im Internet Explorer


Sicherheitslöcher erlauben Angreifer das Ausführen von Programmcode


Wie Microsoft in einem aktuellen Security Bulletin berichtet, enthält der Internet Explorer in den Versionen 5.01, 5.5 und 6.0 erneut zwei gefährliche Sicherheitslöcher, worüber ein Angreifer beliebigen Programmcode auf dem System starten kann. Ein Sammel-Patch soll diese Sicherheitslücken sowie bisherige Sicherheitslöcher in Microsofts Browser schließen und aktualisiert weitere Komponenten rund um den Internet Explorer.

Eines der beiden Sicherheitslecks im Internet Explorer betrifft das Cross-Domain-Sicherheitsmodell des Browsers, worüber eigentlich der Austausch von Informationen über Domain-Grenzen hinweg unterbunden werden sollte. Ein Angreifer kann über eine entsprechend formatierte Webseite Script-Code in der Sicherheitszone "Mein Computer" ausführen, um auf dem angegriffenen System befindliche Applikationen mit den Rechten des angemeldeten Benutzers zu starten oder Dateien auf dem betreffenden System einzusehen.

Das zweite Sicherheitsloch erlaubt es einem Angreifer sogar, beliebigen Programmcode auf ein anderes System zu laden und diesen mit den Rechten des angemeldeten Nutzers auszuführen. Ein Fehler im Internet Explorer sorgt dafür, dass der Browser einen von einem Web-Server stammenden Object-Typ falsch erkennt und einem Angreifer so über die Bereitstellung einer speziell formatierten Webseite das Einschleusen von beliebigem Programmcode erlaubt.

Die letztere der beiden Sicherheitslücken kann neben der Bereitstellung als Webseite auch über eine HTML-Mail ausgenutzt werden, da viele Mail-Clients die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails verwenden. Dann genügt die Ansicht einer entsprechend formatierten E-Mail, um Opfer einer solchen Attacke zu werden.

Zudem setzt der von Microsoft bereitgestellte Sammel-Patch für das nicht mehr unterstützte ActiveX-Control BR549.DLL ein Kill-Bit, da dieses Reporting-Control ebenfalls ein Sicherheitsloch aufweist und so deaktiviert wird. Als Weiteres behebt der Patch einen Programmfehler, wodurch der Internet Explorer durch die Anzeige einer HTML-Seite zum Absturz gebracht werden kann. Dadurch ist auch ein Absturz des E-Mail-Clients möglich, wenn dieser den Internet Explorer zur Ansicht von HTML-Mails verwendet.

Microsoft bietet einen Sammel-Patch für den Internet Explorer 5.01, 5.5 mit Service Pack 2 und 6.0 zum Download an, der auch frühere einzeln erschienene Sicherheits-Updates umfasst.


also ma schnell updat0rn.

Profil Homepage  
Reply

Forum

Gästebuch

Links zu anderen Clans

unsere Sever

alle unsere Wars

Online:

2 Gäste

Heute:36
Gestern:48
Gesamt:1064735
 User:  Passwort: