Neuer kumulativer Patch für Internet Explorer [Update]

Ein neuer Patch von Microsoft beseitigt drei Sicherheitslöcher im Internet Explorer.

In Pocket speichern vorlesen Druckansicht 92 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Microsoft neuestes Security Bulletin MS03-032 beschreibt drei Sicherheitslöcher und einige Schönheitsfehler, die ein kumulativer Patch beseitigen will. Da zwei der Fehler als kritisch eingestuft werden, sollte der Patch sobald wie möglich eingespielt werden. Betroffen sind die Internet-Explorer-Versionen 5.01, 5.5, 6.0 und 6.0 für Server 2003.

Unter anderem wird eine Object-Tag-Schwachstelle im Internet Explorer nochmals geflickt, die eigentlich seit MS03-020 beseitigt sein sollte. Mit einem manipuliertem HTML-Dokument kann ein Angreifer beliebigen Code einschleusen und im Kontext des Benutzers ausführen.

Ein weiterer Fehler im Browser-Cache des Internet Explorer ermöglicht einen Angriff über sogenanntes Cross-Domain-Scripting. Damit ist der Zugriff auf lokale Dateien und Daten in bereits geöffneten Browserfenstern anderer Webserver möglich. Zusätzlich kann Script-Code auf das System des Benutzers geladen und in der Sicherheitszone "My Computer" ausgeführt werden. Die Zone "My Computer" ist eigentlich nicht vorhanden, Microsoft beschreibt sie wie folgt:"Darüber hinaus werden alle bereits auf dem lokalen Computer befindlichen Dateien als sehr sicher angesehen, sodass ihnen nur minimale Sicherheitseinstellungen zugewiesen werden. Sie können die auf dem Computer befindlichen Ordner bzw. Laufwerke keiner Sicherheitszone zuweisen."

Der dritte Fehler betrifft das ActiveX-Control BR549.DLL, das für das Windows Reporting Tool benötigt wurde. Da dieses Tool nicht mehr von Microsoft unterstützt wird und das Control eine Sicherheitslücke aufweist, schaltet der Patch das Control durch Setzen des sogenannten Kill-Bits ab. Das Kill-Bit verhindert, das der Internet Explorer ein entsprechendes ActiveX-Control laden kann.

Als Schönheitsreparaturen sind noch Veränderungen an der HTML-Rendering-Engine zum Anzeigen der Seiten vorgenommen worden, ein Fehler beim Laden von HTML-Mails kann Outlook Express zum Absturz bringen. Schlussendlich schaltet der Patch die Funktion window.showHelp( ) ab, mit dem Angreifer HTML-Hilfe-Seiten (.chm) zum Ausspähen von Dateien mißbrauchen können.

Update: Des weiteren hat Microsoft das Security Bulletin MS03-30 vom 23 Juli 2003 überarbeitet. Ein Sicherheitsloch in DirectX ermöglichte es Angreifern, durch eine manipulierte MIDI-Datei beliebigen Code auf dem Rechner des Opfers auzuführen. Der damals veröffentlichte Patch behob das Problem offenbar nicht bei allen DirectX-Versionen, hier hat Microsoft jetzt nachgebessert. (dab)