Internet Explorer lädt und startet beliebige Programme

Der c't-Browsercheck auf heise Security demonstriert jetzt eine der am Montag gemeldeten Schwachstellen des Internet Explorer. Bei dieser Sicherheitslücke genügt ein voreiliger Klick auf eine URL, um ohne weitere Nachfragen ein beliebiges Programm aus dem Internet herunterzuladen, auf dem Rechner zu installieren und auch gleich auszuführen. Dabei kann es sich genausogut um einen Virus, einen 0190-Dialer oder ein Schadprogramm handeln, das alle erreichbaren Dateien löscht. Wir konnten diesen Vorgang mit Internet Explorer 6.0 und 5.x mit allen am 18.9.2003 verfügbaren Patches reproduzieren.

Ursache des Problems ist die ungenügende Absicherung des <Object>-Tags, über das ActiveX-Komponenten aufgerufen werden. Diesem Tag kann man eine Bezugsquelle für das Objekt als URL übergeben und dabei lassen sich die Sicherheitsmechanismen des Internet Explorer umgehen. Ähnliche Probleme mit ActiveX gibt es seit mindestens drei Jahren. Microsoft stellt immer wieder Patches bereit, nach deren Einspielen die aktuellen Exploits nicht mehr funktionieren. Einige Zeit später tauchten jedoch immer wieder neue Variationen auf, die demonstrierten, dass Microsoft die Lücke doch nicht richtig geschlossen hat. Für die aktuelle Variante gibt es derzeit noch keinen Patch von Microsoft.

Siehe dazu: