Jump to content

Schwachstelle im Internet Explorer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

im Newsletter von https://www.dfn-cert.de/ (sehr zu empfehlen)

steht heute folgendes:

Liebe Kolleginnen und Kollegen,

 

soeben erreichte uns nachfolgende Warnung. Wir geben diese Informationen

unveraendert an Sie weiter.

 

Im Internet Explorer existiert eine Schwachstelle, die die fehlerhafte

Initialisierung der Methode window() im Zusammenhang mit <BODY onload>

Events betrifft.

 

Durch den 'onload' Event Handler wird beliebiger JavaScript Code

ausgefuehrt, wenn die HTML-Seite vollstaendig in das Fenster oder alle

Frames des Fensters geladen wurde (Load Event). Durch die Window()

JavaScript Methode kann das aktuelle Fenster beeinflusst werden (zum

Beispiel kann der Inhalt erneut geladen werden).

 

Die Schwachstelle ist zwar bereits seit Juni 2005 bekannt; allerdings

wurde zum Zeitpunkt der Veroeffentlichung vermutet, dass die

Schwachstelle nur fuer Denial of Service Angriffe auf den Internet

Explorer ausgenutzt werden kann.

 

Ein entfernter Angreifer kann diese Schwachstelle durch entsprechend

konstruierten JavaScript Code ausnutzen, um beliebige Befehle mit den

Rechten des Internet Explorer Benutzers auszufuehren. Voraussetzung

ist, dass der Benutzer die HTML-Seite oder die E-Mail des Angreifers

oeffnet und dass der enthaltene JavaScript Code ausgefuehrt wird.

 

Ein Exploit zum Ausnutzen der Schwachstelle ist bereits veroeffentlich

worden.

 

Zur Zeit ist noch kein Patch vorhanden. Als Workaround kann JavaScript

deaktiviert werden.

 

Weitere Informationen zu der Schwachstelle finden Sie unter der URL:

 

http://secunia.com/advisories/15546/

 

Betroffen sind die folgenden Software Pakete und Plattformen:

 

Microsoft Internet Explorer 5.5

Microsoft Internet Explorer 6.x

 

Microsoft Windows 2000

Microsoft Windows XP SP1 und SP2

 

© der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die

Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,

DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken

gestattet.

 

Mit freundlichen Gruessen,

 

Jan Kohlrausch, DFN-CERT

Link zu diesem Kommentar

nu gibt s auch n Exploit

Zitat: Eine Gruppe namens Computer Terrorism hat ein Proof-of-Concept für eine hoch kritische Lücke im Internet Explorer veröffentlicht. Die Schwachstelle ist Microsoft bereits seit Mai bekannt, ein Patch wurde allerdings noch nicht veröffentlicht.

Microsoft kennt die Sicherheitslücke laut diesem Advisory(http://www.microsoft.com/technet/security/advisory/911302.mspx) bereits seit Mai. Bislang wurde allerdings angenommen, dass Angreifer den Browser nur abstürzen lassen können. Derzeit gibt es noch keinen Patch, der die hoch kritische Schwachstelle beseitigt. Als Workaround sollten Sie JavaScript im Internet Explorer deaktivieren oder auf einen alternativen Browser umsteigen.

aus:http://www.tecchannel.de/news/themen/sicherheit/433199/index.html

 

und wer s Englisch und genauer mag:

http://www.frsirt.com/english/advisories/2005/2509

Michael

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...