zurück zum Artikel

Das von Microsoft am Freitag außer der Reihe veröffentlichte Update lässt anscheinend immer noch schwerwiegende Lücken im Internet Explorer offen.

Das von Microsoft am Freitag außer der Reihe veröffentlichte Update [1] lässt anscheinend immer noch schwerwiegende Lücken im Internet Explorer offen. Microsofts Update verhindert Aufrufe des ActiveX-Objects ADODB.Stream aus dem Internet Explorer heraus. Auf der Sicherheits-Mailingliste Full Disclosure weisen jedoch Sicherheitsexperten wie Jelmer und http-equiv darauf hin, dass andere ActiveX-Objekte ebenfalls Möglichkeiten bieten, Dateien zu installieren und zu starten. Letzteres erlaubt beispielsweise das Objekt Shell.Application mit der Methode ShellExecute.

Zumindest schließt der letzte Microsoft-Patch die Löcher im Zonenmodell des IE nicht, über die sich bösartige Web-Seiten die Rechte der lokalen Zone erschleichen können. Mit diesen Rechten erhalten Skripte im Internet Explorer Zugriff auf eine Reihe von kritischen Systemressourcen. Ob sich dann über Shell.Application dann auch tatsächlich so einfach wie mit ADODB.Stream Trojaner installieren lassen, ist noch nicht klar.

Darüber hinaus wird auch die Frage diskutiert, warum Microsoft für eine einfache Registry-Änderung fast zehn Monate benötigt hat. Schließlich war dieser Workaround von Anfang an bekannt. In der Zwischenzeit haben sich viele IE-Nutzer auf speziell präparierten Web-Seiten Trojaner eingefangen.

Siehe dazu auch: (ju [2])

• Posting von http-equiv [3] auf Full Disclosure

URL dieses Artikels:
https://www.heise.de/-104428

Links in diesem Artikel:
[1] https://www.heise.de/news/Microsoft-sichert-Internet-Explorer-Update-104099.html
[2] mailto:ju@ct.de
[3] http://lists.netsys.com/pipermail/full-disclosure/2004-July/023400.html

Copyright © 2004 Heise Medien