47090

IE: Kritische Lücke durch Drag-and-Drop

20.08.2004 | 08:50 Uhr |

Im Internet Explorer ist erneut eine Sicherheitslücke aufgetaucht. Ein so genanntes "Proof-of-Concept" wurde auf einem komplett gepatchtem Windows XP-System erfolgreich durchgeführt.

In Microsofts Internet Explorer ist eine neue Sicherheitslücke entdeckt worden. Über eine speziell präparierte Website können Angreifer beliebige Dateien in den Autostart-Ordner von Windows ablegen, berichtet unsere Schwesterpublikation Tecchannel .

Die Dateien müssen einem Proof-of-Concept (PoC) des Entdeckers "http-equiv" zufolge, mit Hilfe des Drag-and-Drop-Verfahrens lokal abgelegt werden. In dem erstellten Beispiel wurde eine ausführbare Programmdatei als Bild getarnt.

Ist die Datei einmal im Autostart-Ordner wird sie bei jedem Start von Windows ausgeführt. Das PoC erfordert zwar die Drag-and-Drop-Aktion kann aber möglicherweise so umgeschrieben werden, dass ein einfacher Klick auf die Datei zum selben Ergebnis führt.

Das erstellte Beispiel wurde auf einem komplett gepatchtem Windows XP-System mit installiertem SP1/SP2 und dem Internet Explorer 6 erfolgreich durchgeführt. Die Sicherheitslücke beruht auf einem Fehler im Active Scripting des Internet Explorers.

Bereits Anfang der Woche war eine Variante aufgetaucht, die Spoofing- und Phishing-Attacken ermöglicht. Als Workaround wird empfohlen, Active Scripting zu deaktivieren oder auf einen anderen Browser umzusteigen.

0 Kommentare zu diesem Artikel
47090