Sicherheitslücken

22.11.2009 14:17

Zero-Day-Lücke im Internet Explorer entdeckt

Auf die am Freitag auf der Sicherheits-Mailingliste Bugtraq aufgetauchte Meldung mit dem Betreff "IE7", in der einige Zeilen HTML-Code enthalten sind, haben verschiedene Sicherheitsexperten nun einen genauen Blick geworfen.

Wie sich herausgestellt hat, handelt es sich um eine bisher unbekannte Schwachstelle im Browser von Microsoft. Unter anderem hat der Sicherheitsdienstleister 'Symantec' die kritische Lücke im Internet Explorer bestätigt.

Das Exploit sei zwar noch nicht ausgereift, es sei jedoch sehr wahrscheinlich, dass der Code weiterentwickelt und verbessert werde. Infolgedessen könnten auch schon in absehbarer Zeit erste Angriffe gestartet werden.

Durch das erfolgreiche Ausnutzen der Schwachstelle könnte ein Angreifer Schadcode verbreiten und die Systeme der Opfer möglicherweise vollständig übernehmen. Diese Problematik haben auch die Experten von 'VUPEN Security' bestätigt und die 0Day-Lücke sowohl im Internet Explorer 6, als auch in der Version 7 unter Windows XP mit dem Service Pack 3 erfolgreich ausnutzen können. Eingestuft wird die "Internet Explorer CSS Handling Code Execution Vulnerability" als kritisch.

Auch wenn der Sachverhalt gegenwärtig noch nicht lückenlos klar ist, vermuten die Experten den Fehler in einer bestimmten JavaScript-Methode im Zusammenhang mit der Programmbibliothek "Microsoft HTML Viewer" (mshtml.dll). Der Browser könnte sodann beim Empfangen von CSS/STYLE-Objekten abstürzen und zugleich könnte das Einschleusen von Schadcode ermöglicht werden.

Um sich vor derartigen Angriffen zu schützen, könnte man beispielsweise das Active Scripting in den Einstellungen deaktivieren. Dies hätte jedoch zur Folge, dass viele Webseiten nicht mehr in der gewünschten Form dargestellt werden können.

Von Microsoft liegt momentan noch keine Stellungnahme oder ein Patch, der die Sicherheitslücke aus der Welt schaffen könnte, vor.

Sebastian Gruber

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

(-20)

Mit Windows kann man schön offline Daddelkram spielen, für Internet ist es eher weniger Empfehlenswert.

[re:1] am

(+2)

@Fusselbär: you fail

[re:2] am

(+2)

@Fusselbär: von dir kommen heute echt geistreiche post´s. fanboy ...

[re:3] am

(-14)

@tobi89: Beweise erst mal das Gegenteil! Ich mache es Dir sogar ganz leicht. Auf was für Betriebssysteme trifft diese typische Beschreibung eher zu: "Mit ***** hat man weniger kommerziellen Daddelkram zur Auswahl, dafür ist es gegen Windows-Virchen und Windows-Würmchen im Internet immun." Trifft das eher auf Windows, oder eher auf das gute Linux zu?

Bearbeitet am 22.11.09 um 14:32 Uhr.

[re:4] am

(+6)

@Fusselbär: Seit Vista trifft es auch auf Windows nicht mehr zu. Die Schadsoftware, die ausgeführt wird, wird vom unqualifizierten User selbst ausgeführt, da klassische Viren und Würmer ziemlich ausgestorben sind. Bei unqualifizierter Handlung ist Linux die selbe Gefahr wie Windows. Da möchte ich beinahe sagen das Windows sicher ist, da es Leichter zu erlernen ist, dank Jahrzehnte Erfahrung im Entwickeln einer Benutzerfreundlichen Oberfläche.

Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an

oder verwenden Sie Ihren bestehenden Zugang.

Benutzername oder Passwort vergessen?