163044

Exploit für alte IE-Lücke aufgetaucht

22.11.2005 | 14:59 Uhr |

Für eine Sicherheitslücke im Internet Explorer, die bereits seit Ende Mai bekannt ist, ist nun ein Exploit veröffentlicht worden. Dieser ermöglicht das Ausführen von Programmen. Internet Storm Center setzt Infocon auf Alarmstufe Gelb, da es noch keinen Patch gibt.

Für eine Sicherheitslücke im Internet Explorer, die bereits seit Ende Mai bekannt ist, ist nun ein Exploit veröffentlicht worden. Dieser ermöglicht das Ausführen von Programmen. Das Internet Storm Center hat daher "Alarmstufe Gelb" (Infocon yellow) ausgelöst. Microsoft hat mit der Veröffentlichung einer Sicherheitsempfehlung reagiert.

Die Sicherheitslücke entsteht durch die Art und Weise, wie der Internet Explorer Javascript-Ereignisse verarbeitet, die durch das Laden einer HTML-Seite ausgelöst werden (onLoad Event). Dadurch kann eine speziell präparierte Web-Seite den Internet Explorer zum Absturz bringen. Soweit war das bereits seit Mai bekannt. Der nun veröffentlichte Beispiel-Code (Exploit) zeigt, dass es auch möglich ist ein Programm zu starten, bevor der IE abstürzt. Abgewandelter Beispiel-Code kann auch eine Shell öffnen, was vermuten lässt, dass noch mehr möglich sein kann.

Die Schwachstelle im Internet Explorer ist bislang nicht durch ein Update zu schließen. Betroffen sind alle Windows-Versionen außer Windows Server 2003 (in der Standardkonfiguration), auch Windows 98. Microsoft empfiehlt für Active Scripting im Internet Explorer die Option "Eingabeaufforderung" zu aktivieren oder die Sicherheitstufe für die Internet-Zone auf "hoch" zu setzen.

Das Internet Storm Center empfiehlt das Abschalten von Scripting im IE oder den Wechsel zu einem alternativen Browser. Dafür stehen zum Beispiel Mozilla, Firefox oder Opera zur Verfügung.

0 Kommentare zu diesem Artikel
163044