Sicherheitsupdate für Internet Explorer unwirksam

Der Sicherheitsexperte http-equiv berichtet auf der Mailling-Liste Full-Disclosure, dass der von Microsoft veröffentlichte Patch Q822925 zum Schließen des Object-Data-Tag-Sicherheitslochs im Internet Explorer nicht funktioniert. Ein Link zu einem Proof-of-Concept-Exploit ist in seinem Advisory enthalten. Betroffen sind die Internet-Explorer-Versionen 5.01, 5.5, 6.0 und 6.0 für Windows Server 2003. Microsoft stufte das Sicherheitsloch im Bulletin MS03-032 Ende August als kritisch ein. Der fehlerhafte Patch war bereits der zweite Versuch, dieses Sicherheitsloch zu schließen. Microsoft ist über das Problem informiert, einen neuer Patch steht aber noch nicht zur Verfügung.

Der Internet Explorer bestimmt anhand der Endung eines Object-Data-Tags, ob ein Objekt sicher ist. Allerdings gibt der "Content-Type" im Header eines HTTP-Requests vor, wie ein Objekt im Internet Explorer wirklich behandelt wird. Durch das Sicherheitsloch ist es möglich, ausführbare Dateien wie etwa HTML-Applikationen (.hta) ohne Rückfragen im Kontext des Anwenders auszuführen. Ein Benutzer muss dazu ein manipuliertes HTML-Dokument aufrufen, das selbstständig Dateien von dem Server eines Angreifers nachlädt. Das HTML-Dokument kann auch im Anhang einer E-Mail stecken. Die ersten In-the-Wild-Exploits sind von dem Sicherheitsdienstleister Secunia bereits gesichtet worden. Dabei werden zusätzliche Anzeigeelement und Links zu Pornoseiten im Internet Explorer installiert.

http-equiv empfiehlt das Deaktivieren des Active Scripting im Internet Explorer beziehungsweise den IE, sofern möglich, zu deinstallieren. Das Active Scripting schaltet man unter "/Extras/Internetoptionen/Sicherheit/Stufe anpassen/Active Scripting deaktivieren" ab.

Siehe dazu auch: (dab)

• Security Advisory von http-equiv
• Neuer kumulativer Patch für Internet Explorer auf heise Security
• Security Bulletin MS03-032 von Microsoft