Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
micha42

Schwachstelle im Internet Explorer

Empfohlene Beiträge

im Newsletter von https://www.dfn-cert.de/ (sehr zu empfehlen)

steht heute folgendes:

Liebe Kolleginnen und Kollegen,

 

soeben erreichte uns nachfolgende Warnung. Wir geben diese Informationen

unveraendert an Sie weiter.

 

Im Internet Explorer existiert eine Schwachstelle, die die fehlerhafte

Initialisierung der Methode window() im Zusammenhang mit <BODY onload>

Events betrifft.

 

Durch den 'onload' Event Handler wird beliebiger JavaScript Code

ausgefuehrt, wenn die HTML-Seite vollstaendig in das Fenster oder alle

Frames des Fensters geladen wurde (Load Event). Durch die Window()

JavaScript Methode kann das aktuelle Fenster beeinflusst werden (zum

Beispiel kann der Inhalt erneut geladen werden).

 

Die Schwachstelle ist zwar bereits seit Juni 2005 bekannt; allerdings

wurde zum Zeitpunkt der Veroeffentlichung vermutet, dass die

Schwachstelle nur fuer Denial of Service Angriffe auf den Internet

Explorer ausgenutzt werden kann.

 

Ein entfernter Angreifer kann diese Schwachstelle durch entsprechend

konstruierten JavaScript Code ausnutzen, um beliebige Befehle mit den

Rechten des Internet Explorer Benutzers auszufuehren. Voraussetzung

ist, dass der Benutzer die HTML-Seite oder die E-Mail des Angreifers

oeffnet und dass der enthaltene JavaScript Code ausgefuehrt wird.

 

Ein Exploit zum Ausnutzen der Schwachstelle ist bereits veroeffentlich

worden.

 

Zur Zeit ist noch kein Patch vorhanden. Als Workaround kann JavaScript

deaktiviert werden.

 

Weitere Informationen zu der Schwachstelle finden Sie unter der URL:

 

http://secunia.com/advisories/15546/

 

Betroffen sind die folgenden Software Pakete und Plattformen:

 

Microsoft Internet Explorer 5.5

Microsoft Internet Explorer 6.x

 

Microsoft Windows 2000

Microsoft Windows XP SP1 und SP2

 

© der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die

Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,

DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken

gestattet.

 

Mit freundlichen Gruessen,

 

Jan Kohlrausch, DFN-CERT

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

nu gibt s auch n Exploit

Zitat: Eine Gruppe namens Computer Terrorism hat ein Proof-of-Concept für eine hoch kritische Lücke im Internet Explorer veröffentlicht. Die Schwachstelle ist Microsoft bereits seit Mai bekannt, ein Patch wurde allerdings noch nicht veröffentlicht.

Microsoft kennt die Sicherheitslücke laut diesem Advisory(http://www.microsoft.com/technet/security/advisory/911302.mspx) bereits seit Mai. Bislang wurde allerdings angenommen, dass Angreifer den Browser nur abstürzen lassen können. Derzeit gibt es noch keinen Patch, der die hoch kritische Schwachstelle beseitigt. Als Workaround sollten Sie JavaScript im Internet Explorer deaktivieren oder auf einen alternativen Browser umsteigen.

aus:http://www.tecchannel.de/news/themen/sicherheit/433199/index.html

 

und wer s Englisch und genauer mag:

http://www.frsirt.com/english/advisories/2005/2509

Michael

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×