Microsoft schließt das IFrame-Loch
Mit einem überraschenden Update beseitigt Microsoft das IFrame-Problem des Internet Explorer 6.0.
Mit einem überraschenden Update beseitigt Microsoft das IFrame-Problem des Internet Explorer. Wie bereits am 2.11. berichtet, konnten speziell präparierte Web-Seiten durch einen Pufferüberlauf beliebigen Code auf anfälligen Windows-Systemen ausführen. Der Fehler tritt bei überlangen Attributen eines IFrame-Tags auf, über das Web-Seiten Inhalte anderer Sites quasi einbetten können.
Seit geraumer Zeit kursieren Exploits für die Lücke, die auch als BOFRA bezeichnet wird. Eine nicht sonderlich weit verbreitete Mydoom-Variante nutzte diese Schwachstelle bereits aus und letzte Woche gelang es Angreifern, Anzeigen-Server mit BOFRA-Exploits zu präparieren. Anschließend infizierten viele Anwender ihr System, nur weil sie Web-Sites aufsuchten, die Anzeigen von diesen Servern einbetteten.
Betroffen sind alle Windows-Versionen mit Internet Explorer 6.0 außer Windows XP mit Service Pack 2. Wie Microsoft gegenüber heise Security erklärte, wurden im Rahmen von SP2 Teile des Internet Explorer komplett neu geschrieben. Dabei wurde der Fehler, der den Pufferüberlauf ermöglicht, beseitigt, ohne dass man es bemerkt habe.
Microsoft stuft das Update als kritisch ein. Wer Windows 98, ME oder 2000 nutzt oder bei XP das Service Pack 2 nicht installieren kann, sollte schnellstmöglich den neuen Patch über die Windows-Update-Funktion einspielen, da mit weiteren IFrame-Angriffen über Würmer oder gehackte Web-Seiten zu rechnen ist. Die Redmonder bezeichnen den in MS04-040 genauer beschriebenen Patch als "Sicherheitsupdate für Dezember". Ob damit der am 14.12. fällige monatliche Patch-Day hinfällig ist, ließ sich noch nicht in Erfahrung bringen.
Siehe dazu auch: (ju)
- Windows-Sicherheitsupdate für Dezember 2004 von Microsoft
- Kumulatives Sicherheitsupdate für Internet Explorer (889293), Microsoft Security Bulletin MS04-040
