194112

IE 6 mit zwei weiteren schweren Lücken

21.10.2004 | 09:34 Uhr |

Die Sicherheitsexperten von Secunia haben gleich zwei neue Sicherheitslücken im Internet Explorer 6 publik gemacht, die sie als "hoch kritisch" einstufen. Durch eine der Schwachstellen wird sogar ein Sicherheits-Feature des Windows XP Service Pack 2 umgangen.

Der Internet Explorer 6 weist zwei schwer wiegende Lücken auf. Sie ermöglichen es Angreifern, das System zu kompromittieren, auf lokale Ressourcen zu verweisen und Security-Features des Microsoft Windows XP SP2 zu umgehen. Das berichtet unsere Schwesterpublikation Tecchannel .

Die erste Lücke betrifft die Überprüfung von Drag-and-Drop-Aktionen der "Internet"-Zone zu lokalen Ressourcen. Der Fehler beruht laut Secunia auf der mangelhaften Prüfung von in Bilder- oder Media-Dateien eingebettetem HTML-Code. Ein Angreifer könnte die Lücke ausnutzen, um über eine präparierte Website beliebigen HTML-Code auf den Rechner des Users zu laden, der wiederum das Ausführen beliebigen Script-Codes in der Zone "Lokaler Computer“ ermöglicht.

Die zweite Lücke hängt mit der unzureichenden Abgrenzung der Sicherheitszonen des Browsers im Zusammenhang mit dem HTML-Help-Control zusammen. Bindet ein Angreifer das Control in eine HTML-Seite ein und referenziert eine speziell vorbereitete Index-Datei (.hhk), kann er aufgrund des Fehlers in den Zonenbeschränkungen auch lokale HTML-Dokumente ausführen. Damit soll sich auch die Beschränkung “Lokaler Computer” des Windows XP SP2 umgehen lassen.

Die Lücken sind laut Secunia auf einem gepatchten System mit Internet Explorer 6 und Windows XP SP2 nachgewiesen. Derzeit lautet die Lösung des Problems laut dem zugehörigen Secunia-Report : Deaktivieren Sie Active Scripting oder verwenden Sie ein anderes Produkt.

Weitere Sicherheits-News auf PC-WELT

0 Kommentare zu diesem Artikel
194112