60790

Neue IE-Sicherheitslücken betreffen auch Outlook

08.09.2005 | 14:03 Uhr |

Mindestens eine Schwachstelle im Internet Explorer soll zum Einschleusen von Code genutzt werden können.

Die Serie neu entdeckter Sicherheitslücken im Internet Explorer (IE) reißt nicht ab. Der Kalifornier Tom Ferris berichtet auf seiner Website über eine Schwachstelle im IE, durch die eine Web-Seite einen Pufferüberlauf verursachen und möglicherweise schädlichen Code einschleusen könnte ( wir berichteten ). Auch das Sicherheitsunternehmen Eeye berichtet über eine ähnliche Lücke.

Unklar bleibt zunächst, ob sich beide Meldungen auf die gleiche Schwachstelle beziehen. Auch der von beiden genannte Zusammenhang mit Outlook und Outlook Express wird nicht näher beleuchtet. Vermutlich ist es auch möglich, die Sicherheitslücke durch HTML-formatierte Mails auszunutzen, für deren Anzeige einige Mail-Programme wie Outlook und Outlook Express Komponenten des Internet Explorers verwenden.

Tom Ferris gibt an, seine Entdeckung am 14. August an Microsoft berichtet zu haben. Microsoft habe bestätigt, dass man die Meldung erhalten habe und das Problem "aggressiv" untersuche. Ferris gibt ebenso wie Eeye keine technischen Details zu der Schwachstelle preis. Beide folgen damit Microsofts Forderung nach einem verantwortungsvollen Umgang mit solchen Informationen.

Ferris, der sich im Internet "badpack3t" nennt, machte in dieser Woche ein paar weitere Angaben. Er sagte, die Lücke sei keine Variante bereits bekannter Schwachpunkte. Die Ausnutzung könne erfolgen, ohne dass der Anwender etwas bemerke. Weder ein Absturz des Browsers noch ein Pop-up oder dergleichen würde ihn darauf hinweisen, dass etwas passiert sei. Ferris empfiehlt daher einen anderen Browser zu benutzen, bis das Loch geflickt ist.

Im Gegensatz zu Ferris gibt Eeye in seiner Ankündigung einer Sicherheitsempfehlung Windows 2000 und Windows XP ohne Service Pack oder mit Service Pack 1 als verwundbare Systeme an. Ferris hingegen hat seine Entdeckung unter Windows XP mit Service Pack 2 und allen Sicherheits-Updates gemacht, wie er schreibt. Beide schließen jedoch nicht aus, dass andere Windows- und IE-Versionen ebenfalls betroffen sein könnten. Laut Microsoft sind bislang keine Web-Seiten bekannt, die auf diesem Wege Code einzuschleusen versuchen.

0 Kommentare zu diesem Artikel
60790