Sicherheitslücke in Internet Explorer 6 & 7 gefunden

Software Der Sicherheitsspezialist Michal Zalewski hat gestern einen ausführlichen Bericht darüber ins Internet gestellt, wie der Internet Explorer von Microsoft durch einfache HTML-Befehle zum Absturz gebracht werden kann und somit optimale Angriffsfläche für Angreifer bietet, die Code einschleusen wollen.

Lediglich durch Definieren mehrerer tausend Event-Handler in HTML-Tags, wie es beispielsweise onClick oder auch onLoad sind, kann der Browser auf primitivste Weise zum Absturz gebracht werden, indem dieser versucht, außerhalb seiner Speichergrenzen Daten zu schreiben. Laut dem Bericht von Zalewski ist sowohl ein Internet Explorer 6.0, der mit allen bisher verfügbaren Patches versehen wurde, als auch die zweite Beta-Version von Internet Explorer 7.0 betroffen.

Gefährlich könnte die Lücke letztlich dadurch werden, weil Zalewski mehr als genügend Informationen frei veröffentlicht hat, die einem Cracker ausreichen, um den Angriff zu starten. Zusätzlich hat er ein Testscript entworfen, das über eintausend Mal den Befehl onclick=bork enthält und Internet Explorer infolgedessen einfriert. Erschwerend kommt hinzu, dass er Microsoft nicht vorab über die Schwachstelle unterricht hat. Wann nun also tatsächlich ein Update bereitgestellt werden wird, ist noch unklar.

Link: Remote overflow in MSIE script action handlers (mshtml.dll)
Diese Nachricht empfehlen:
 
...und genau deshalb ..Firefox...was war IE eigentlich noch??? lol
 
@berserker: ... einfach abwarten bis die nächste Firefox-Sicherheitslücke entdeckt wird.  :-)
 
@swissboy: Und dann? Zusehen wie sie gefixt wird? Ich darf dich informieren dass noch mindestens 23 Lücken beim IE6 _ungefixt sind? Diese noch nicht mit eingeschlossen.
 
@berserker: Ein nicht aktueller Firefox bietet selbst genügend Angriffsflächen.
 
@swissboy: MS hat aber insgesamt mehr Zeit um den IE6 sicher zu machen. 2 Jahre oder noch länger? Mozilla hatte diese Zeit nicht und deshalb findet man auch dort noch evtl Sicherheitslücken.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

MSDN Online

News zu IT Pro- und Dev-Tools