75366

Zwei neue Sicherheitslücken im IE

29.06.2006 | 09:23 Uhr |

Eine davon soll angeblich auch Mozilla Firefox betreffen.

Das kumulative Sicherheits-Update für den Internet Explorer ist gerade einmal zwei Wochen alt, da werden bereits wieder neue Schwachstellen gemeldet. Das Internet Storm Center (ISC) berichtet über zwei Sicherheitslücken im Internet Explorer (IE), von denen eine auch Firefox zu betreffen scheint.

Eine als kritisch eingestufte Anfälligkeit kann dazu genutzt werden, Anwender zum Öffnen einer verknüpften Datei zu bringen. Dies wird durch den Umgang des IE mit HTA-Dateien ermöglicht. Die zu öffnende Datei muss dazu über eine Freigabe zugänglich sein und kann auf einem Computer in einem anderen Netzwerk liegen. Der veröffentlichte Beispiel-Code erfordert zur Ausnutzung der Anfälligkeit einen Doppelklick des Anwenders. Das ISC geht jedoch davon aus, dass recht bald jemand heraus finden wird, wie diese Einschränkung umgangen werden kann.

Die zweite Sicherheitslücke erscheint zwar zunächst weniger dramatisch, ist jedoch viel subtiler ausnutzbar. Ein Angreifer kann unbemerkt Inhalte fremder Web-Seiten ausspionieren, zum Beispiel Ihr Webmail-Konto. Eine fehlerhafte Überprüfung der Herkunft von HTML-Code in der Eigenschaft "object.documentElement.outerHTML" kann dazu ausgenutzt werden.

Das ISC gibt an, den Fehler auch mit Firefox reproduzieren zu können. Eigene Tests mit einer Demo-Seite von Secunia und Firefox 1.5.0.4 sowie Mozilla 1.7.13 bestätigen dies nicht. Mit dem Internet Explorer 6 hingegen funktioniert dieser Test.

Als vorbeugende Sicherheitsmaßnahme empfiehlt sich die Deaktivierung von Active Scripting im Internet Explorer. Firefox kann vor den mit Javascript verbundenen Risiken durch die kostenlose Erweiterung " Noscript " geschützt werden, ohne dass Sie Javascript komplett abschalten müssen.

0 Kommentare zu diesem Artikel
75366