Internet Explorer bleibt Sorgenkind
Auf der kommenden Black-Hat-Konferenz will ein Sicherheitsspezialist Schwachstellen in Microsofts Browser vorführen, durch die eine Webseite beliebige Dateien auf einem PC auslesen kann.
- Daniel Bachfeld
Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.
Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.
Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. Es gebe aber weitere Wege, das Zonenmodell auszuhebeln. Laut Medina seien diese Wege sehr schwer zu versperren, da es sich um grundlegende Funktionen des Browsers handele, damit der Browser mit anderen Anwendungen nahtlos zusammenarbeiten kann.
Betroffen sind durch die Bank alle Versionen des Internet Explorer von Version 6 bis 8 auf allen verfügbaren Windows-Versionen – inklusive Windows 7. Microsoft soll über die Probleme informiert sein und mit Core Security bereits an einer Lösung arbeiten. Meldungen über erfolgreiche Angriffe durch diese Lücke gebe es nicht. Vorschläge zum Schutz machen bislang weder Medina noch Microsoft.
Erst vergangene Woche musste Microsoft mit einem Notfall-Patch eine kritische Lücke in seinem Browser schließen, durch die vermutlich chinesische Hacker erfolgreich bei Google, Adobe und anderen US-Unternehmen eindrangen.
Anwender sollten den Einsatz eines alternativen Browsers in Erwägung ziehen. Zur Wahl stehen Firefox, Chrome und Opera. Diese weisen zwar auch immer wieder kritische Sicherheitslücken auf, insbesondere in Firefox beseitigen die Entwickler häufig kritische Fehler, allerdings gab es dafür bislang so gut wie nie Zero-Day-Exploits. Zudem konzentrieren sich Kriminelle weiterhin auf den Internet Explorer als Angriffsziel. Mit dem zunehmenden Marktanteil des Firefox könnte allerdings auch dieser bald verstärkt unter Beschuss stehen.
Siehe dazu auch:
- Sammel-Update für den Internet Explorer, Sicherheitsnotiz MS10-002 von Microsoft
- Sicherheitsfunktion des Internet Explorer 8 unsicher, auf heise Security
- Windows-Lücke nach 17 Jahren gefunden
- Lücke im Internet Explorer: Rettung naht
- Lücke im Internet Explorer: Gute und schlechte Nachrichten
- Gezielte Angriffe auf Unternehmen gehen weiter
- Exploit für IE-Sicherheitslücke jetzt öffentlich
- BSI warnt vor Nutzung des Internet Explorer
- "Rote Hacker": Cyber-Attacken aus China
(dab)
