132532

IE: Microsoft bestätigt mit Verzögerung neue Sicherheitslücke

01.07.2005 | 13:28 Uhr |

Microsoft hat auf eine Warnung der Sicherheitsspezialisten von SEC Consult reagiert. Diese hatten auf eine Sicherheitslücke im Internet Explorer hingewiesen. In einem nun veröffentlichten "Security Advisory" bestätigt Microsoft die Lücke und erklärt, dass derzeit unter Hochdruck die Untersuchungen laufen würden. Im Vorfeld hatte es allerdings Verwirrung rund um die Existenz der Sicherheitslücke gegeben. Microsoft wollte zunächst nichts von einer Lücke wissen.

Eine Sicherheitslücke im Internet Explorer hat Microsoft dazu bewogen, ein neues Security Advisory zu veröffentlichen, um alle Windows-Anwender schon frühzeitig vor der potentiellen Gefahr zu warnen. Microsoft reagierte damit innerhalb von 24 Stunden, nachdem die Sicherheitsspezialisten von SEC Consult vor der Sicherheitslücke gewarnt hatten. Von der Lücke selbst wusste Microsoft aber schon einige Tage länger, wollte aber zunächst nichts von einer Sicherheitslücke wissen.

In dieser Warnung weist SEC Consult aus Österreich darauf hin, dass der Internet Explorer mittels <objects> Tags eingebette COM-Objekte einliest, auch wenn es sich dabei um ActiveX-Controls handelt. Das führe in vielen Fällen zu Abstürzen des Internet Explorers.

Wird aber die Datei "javaprxy.dll" vom Internet Explorer instanziert, dann hat dies nicht nur einen Absturz des IE zur Folge, sondern Angreifer können auch anschließend beliebigen Code auf dem betroffenen Rechner ausführen. Voraussetzung ist, dass der Angreifer eine entsprechend präparierte Website ins Internet stellt und dann die Anwender dorthin lockt. Beim Besuch der Website stürzt dann der IE ab und auf dem System kann ein schädlicher Code zum Ausführen gebracht werden. Als Demonstration für diese Lücke veröffentlichte SEC Consult auch ein simples CGI-Skript, das den IE zum Absturz bringt.

0 Kommentare zu diesem Artikel
132532