137746

Defekte Bilder bringen IE zum Absturz

19.07.2005 | 16:02 Uhr |

Durch manipulierte JPEG-Bilder kann der Internet Explorer zum Absturz gebracht werden.

Eine neue Schwachstelle im Internet Explorer (IE) hat Michal Zalewski aus Polen aufgedeckt und auch gleich veröffentlicht. Er wollte sich nicht mit dem Security-Team von Microsoft aufhalten, schreibt er dazu. Daher sei er mit seinen vorläufigen Ergebnissen gleich an die Öffentlichkeit gegangen.

Zalewski hat sein altes Script ein wenig modifiziert, mit dem er im letzten Jahr bereits eine Sicherheitslücke im IE entdeckt hatte. Diese führte zu einem Pufferüberlauf bei präparierten IFRAME-Konstruktionen. Bereits kurz zuvor hatte er damit Schwachstellen in Mozilla-Browsern aufgedeckt.

Die neue verwundbare Stelle im IE liegt in der Behandlung defekter JPEG-Dateien. Bislang ist nur sicher, dass der Internet Explorer dabei unter Umständen abstürzt. Ob sich bei dieser Gelegenheit schädlicher Programm-Code einschleusen und ausführen lässt, müssen weitere Untersuchungen erst noch ergeben.

Tests mit dem IE 6 unter Windows 2000 und XP zeigen, dass das im IE für JPEG-Bilder zuständige Modul bei den von Zalewski veröffentlichten Beispielen einen Absturz des Browsers verursacht. Mozilla-Browser wie Firefox 1.0.4 zeigen sich hingegen unbeeindruckt. Sie melden teilweise eine fehlerhafte Datei. Opera 8.0 und 8.01 hingegen hängen sich zumindest bei einer der Beispieldateien komplett auf.

"Fanpost" hat Zalewski auch schon erhalten. Jemand bietet ihm Geld für einen funktionierenden Exploit an. Ob das wirklich ernst gemeint ist, bleibt offen.

0 Kommentare zu diesem Artikel
137746