Alter IE-Fehler gefährlicher als vermutet [Update]
Ein bereits seit Monaten bekannter Fehler des Internet Explorer lässt sich ausnutzen, um beliebigen Code auf dem System eines Anwenders auszuführen.
Ein bereits seit Juni bekannter Fehler des Internet Explorer lässt sich ausnutzen, um beliebigen Code auf dem System eines Anwenders auszuführen. Dieser muss dazu lediglich eine Web-Seite aufsuchen, die speziellen JavaScript-Code enthält.
Wie Benjamin Tobias Franz entdeckte und der c't-Browsercheck bereits seit einiger Zeit demonstriert, stürzt der Internet Explorer ab, wenn nach dem Laden einer Seite über den onload-Event-Handler die JavaScript-Funktion window() aufgerufen wird. Jetzt hat Stuart Pearson demonstriert, dass sich auf diesem Weg auch Code einschleusen und zur Ausführung bringen lässt. In Tests von heise Security startete sein Proof-of-Concept-Exploit auf einem System mit Windows XP, Service Pack 2 und allen aktuellen Patches den Windows Taschenrechner bevor der Internet Explorer abstürzte. Laut Pearson ist jedoch auch Windows 2000 betroffen.
Derartige Exploits werden erfahrungsgemäß bald nach ihrem Bekanntwerden ausgenutzt, um beispielsweise Spyware auf den Systemen von IE-Anwendern zu installieren. Derzeit existiert noch kein Patch von Microsoft. Um sich zu schützen, kann man im Internet Explorer Active Scripting abschalten oder einen alternativen Browser einsetzen.
Update:
Mittlerweile hat Microsoft mit einem Advisory auf das Problem reagiert. Demnach sind ab Windows 98 und Internet Explorer 5 alle Windows-Versionen betroffen. Bis zur Herausgabe eines Patches empfiehlt Microsoft, Active Scripting abzuschalten oder zumindest nur auf Nachfrage zuzulassen.
Siehe dazu auch: (ju)
- Crash-Demo des c't Browserchecks auf heise Security (Funktionsaufruf im Body-Tag)
- Security Advisory von S.Pearson, Computer Terrorism (UK)