Anzeigen betten IE-Exploits auf Web-Servern ein
heise Security liegen mehrere Berichte vor, nach denen die Samstag gemeldeten Internet Explorer Exploits nicht direkt auf den Web-Servern abgelegt wurden, sondern über Anzeigen nachgeladen werden.
heise Security liegen mehrere Berichte vor, nach denen die Samstag gemeldeten Internet Explorer Exploits nicht direkt von den betroffenen Web-Servern stammen, sondern von diesen über Anzeigen nachgeladen werden. Bilder oder andere Medien für Anzeigen liegen oft auf externen "Ad-Servern". Der angesprochene Web-Server holt sich von diesen Servern auch den HTML/Script-Code, um die Werbemittel in die eigenen Seiten einzubetten und fügt diesen in die Seite ein, bevor er sie an den Anwender ausliefert. Wie der Exploit-Code auf die Ad-Server gelangen konnte, ist bisher unbekannt. Gemeinsam haben die heise Security vorliegenden Berichte, dass Ad-Software von Falk eingesetzt wird. Ob das Zufall ist oder tatsächlich ein Zusammenhang existiert, ist bisher ebenfalls unklar, die betroffenen Systeme werden zur Zeit noch untersucht.
Das Internet Storm Center hat ähnliche Berichte erhalten und empfiehlt allen Betreibern von Web-Servern, die Anzeigenbanner von anderen Sites einbetten, diese sorgfältig auf den IFRAME-Exploit zu untersuchen. Die Exploits lassen sich an überlangen Attributen, meist SRC-Angaben, in IFRAME-Tags erkennen. Des weiteren sollen Administratoren auch die Möglichkeit erwägen, die Anzeigen abzuschalten, bis weitere Informationen verfügbar sind, um das Risiko zu minimieren, Besucher der eigenen Seiten zu infizieren.
Das ISC hatte gemeldet, dass eine unbekannte Gruppe in viel besuchte Seiten in England, den Niederlanden und Schweden eingedrungen sei und dort den Bofra/IFrame-Exploit platziert habe. Besucht ein Surfer die Seite mit dem Internet Explorer, so wird auf seinem Rechner Ad/Spyware installiert. Es existiert noch kein Patch, aber wer Service Pack 2 für Windows XP installiert hat, ist von dem Problem nicht betroffen. (ju)