Internet-Explorer-Patch lässt Löcher offen

Das von Microsoft am Freitag außer der Reihe veröffentlichte Update lässt anscheinend immer noch schwerwiegende Lücken im Internet Explorer offen.

In Pocket speichern vorlesen Druckansicht 730 Kommentare lesen
Lesezeit: 1 Min.

Das von Microsoft am Freitag außer der Reihe veröffentlichte Update lässt anscheinend immer noch schwerwiegende Lücken im Internet Explorer offen. Microsofts Update verhindert Aufrufe des ActiveX-Objects ADODB.Stream aus dem Internet Explorer heraus. Auf der Sicherheits-Mailingliste Full Disclosure weisen jedoch Sicherheitsexperten wie Jelmer und http-equiv darauf hin, dass andere ActiveX-Objekte ebenfalls Möglichkeiten bieten, Dateien zu installieren und zu starten. Letzteres erlaubt beispielsweise das Objekt Shell.Application mit der Methode ShellExecute.

Zumindest schließt der letzte Microsoft-Patch die Löcher im Zonenmodell des IE nicht, über die sich bösartige Web-Seiten die Rechte der lokalen Zone erschleichen können. Mit diesen Rechten erhalten Skripte im Internet Explorer Zugriff auf eine Reihe von kritischen Systemressourcen. Ob sich dann über Shell.Application dann auch tatsächlich so einfach wie mit ADODB.Stream Trojaner installieren lassen, ist noch nicht klar.

Darüber hinaus wird auch die Frage diskutiert, warum Microsoft für eine einfache Registry-Änderung fast zehn Monate benötigt hat. Schließlich war dieser Workaround von Anfang an bekannt. In der Zwischenzeit haben sich viele IE-Nutzer auf speziell präparierten Web-Seiten Trojaner eingefangen.

Siehe dazu auch: (ju)