Update für Internet Explorer schließt drei Sicherheitslücken

Das Sicherheits-Update beseitigt unter anderem eine Lücke, mit dem das Installieren und Ausführen von beliebigen Code möglich ist; auch das URL-Spoofing wird künftig verhindert.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 319 Beiträge
Von
  • Daniel Bachfeld

Microsoft hat das Security Bulletin MS04-004 veröffentlicht, das drei Fehler im Internet Explorer beschreibt. Einer davon ermöglicht das Laden und Ausführen von Code auf die Systeme von Anwendern. Betroffen sind die Versionen 5.01, 5.5 und 6.

Der seit mehreren Monaten bekannte Fehler im Sicherheitsmodell des Internet Explorers lässt die Ausführung von Skripten in der lokalen Zonen zu, selbst wenn es in einer anderen, nicht-vertrauenswürdigen Zone geladen wurde. Das Lesen eines HTML-Dokumentes, etwa beim Besuchen einer Webseite oder dem Öffnen einer HTML-Mail, beispielsweise in Outlook, reicht aus, um die Skripte auszuführen und weiteren Code nachzuladen und im Kontext des Anwenders auszuführen. Einige Webseiten nutzen diese Schwachstelle seit längerem aus, um Trojaner und Dialer auf dem Rechner zu installieren.

Ein weiteres Problem tritt beim Ausführen von Drag&Drop-Vorgängen in Zusammenhang mit Dynamic-HTML auf. Mit manipulierten Links in HTML-Dokumenten ist es möglich, Dateien in einem beliebigen Zielverzeichnis eines PCs zu speichern, ohne ein entsprechendes Dialogfeld anzuzeigen. Der Anwender muss dazu allerdings den Link anklicken, es wird aber zunächst kein Skript oder Programm gestartet. In Kombination mit anderen Schwachstellen kann ein Angreifer aber nachträglich Zugriff auf diese Datei erhalten und sie ausführen.

Der zur Verfügung gestellte kumulative Patch KB 832894 beseitigt die beiden Lücken und zusätzlich noch das URL-Spoofing-Problem, mit dem Anwender gefälschte URLs als korrekt angezeigt wurden. Wie angekündigt unterstützt der Internet Explorer nach dem Update Benutzernamen und Kennwörter bei http und http mit SSL sowie https nicht mehr. Bei URLs, die durch ein @-Zeichen vom Rest einer http- oder https-URL abgetrennte Bestandteile enthalten, gibt Microsofts Webbrowser nur noch die Fehlermeldung "Invalid syntax error" aus.

Das Installieren und Ausführen von Dateien mit einem Fehler in der showhelp()-Funktion ist aber immer noch möglich. Ob der eigene PC für diese Lücke anfällig ist, können Anwender mit dem c't-Browsercheck überprüfen

Siehe dazu auch: (dab)