|
Neue Sicherheitslücke im Internet Explorer
Der Internet Explorer weist eine Sicherheitslücke auf, über
die Angreifer mittels einer präparierten Webseite Daten von
dem PC des Opfers herunterladen können.
Microsoft bestätigte inzwischen die bereits am Dienstag auf
der Black Hat DC vorgeführte Sicherheitslücke, ein Patch ist
aber noch nicht in Sicht. Um die Sicherheitslücke
auszunutzen, reicht der Besuch einer präparierten Webseite.
Beliebige Daten auf dem Computer des Opfers können
ausgelesen werden, Passwörter sind dadurch nicht mehr
sicher. Um an die Daten zu gelangen, muss zwar der konkrete
Pfad bekannt sein, bei einer üblichen Standardinstallation
sind die Pfade aber immer identisch.
Betroffen sind grundsätzlich alle Versionen von 5.x bis 8
des Internet Explorers auf allen Windows-Systemen ausser der
Home-Version von Windows XP. Die Sicherheitslücke kann im
Internet Explorer 7 und 8 unter Windows 7, Vista und Server
2003/2008 auch nicht ausgenutzt werden, wenn der Browser im
geschützten Modus ausgeführt wird.
Microsoft sucht bereits nach einer Lösung für das Problem,
der Entdecker der Schwachstelle, Jorge Luis Alvarez Medina
von Core Security Technologies, betonte jedoch schon
mehrfach, dass dies nicht so einfach sein wird. Da die
Einstellungen der Sicherheitszonen beim Internet Explorer
nicht greifen, wenn eine Pfadangabe im UNC-Format angegeben
wird, kann ein JavaScript unter Umständen auf lokale Dateien
zugreifen und diese auslesen, obwohl die Zoneneinstellungen
das verbieten.
Als vorläufige Massnahme bietet Microsoft ein
Fix-It-Tool zum Download an, durch das der Internet
Explorer das file-Protokoll nicht mehr unterstützt. Als
Folge können dadurch aber Probleme mit anderen Anwendungen
auftreten. (04.02.10, Heise)
Siehe auch:
Schwere Sicherheitslücke im Internet Explorer
Diese Meldung einem Freund senden
|
