IE-Bug gefährdet Surfer
Das gemeldete Sicherheitsloch im Internet Explorer erlaubt es tatsächlich beliebigen Web-Seiten, Dateien aus dem Internet herunterzuladen und zu starten. Der c't-Browsercheck demonstriert das Problem.
Das gemeldete Sicherheitsloch im Internet Explorer erlaubt es tatsächlich beliebigen Web-Seiten, Dateien aus dem Internet herunter zuladen und zu starten. heise Security konnte diesen Vorgang auf einem voll gepatchten System mit Windows XP und Internet Explorer 6 reproduzieren. Der c't-Browsercheck stellt eine für deutsches Windows XP angepasste Version der Original-Demo bereit.
Dieser Exploit markiert eine neue Generation von Sicherheitsproblemen im Internet Explorer. Die bisher bekannt gewordenen Sicherheitslöcher des Microsoft Browsers wurden zunächst auf Sicherheits-Mailinglisten wie Full Disclosure diskutiert. Angreifer modifizierten erst später die harmlosen Demos, um sie für ihre Zwecke zu missbrauchen und Dialer oder Trojaner zu installieren. Diesmal wurden Sicherheitsexperten erst durch eine bösartige Seite auf das Problem aufmerksam und entwickelten daraus eine Demonstration. Erste Hinweise auf ein solches, bisher unbekanntes Sicherheitsloch gab es bereits Mitte Mai; es wurde also bereits seit etwa einem Monat aktiv ausgenutzt. Die von Jelmer analysierte, bösartige Web-Seite codierte den enthaltenen JavaScript-Code sogar, um Alarmmeldungen von Antiviren-Software zu verhindern.
Offensichtlich suchen Virenbastler mittlerweile selbst aktiv nach neuen Sicherheitslöchern im Internet Explorer. Wer Active Scripting für die Internet-Zone eingeschaltet hat, muss künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren. Anders als prominent platzierte Defacements bleiben solch minimale Änderungen oft längere Zeit unbemerkt. Tipps wie Sie Ihren Browser sicher konfigurieren können, gibt der c't-Browsercheck und der Artikel "Verrammelt, Internet Explorer sicher konfigurieren" in c't 13/04, die am 14.6.04 am Kiosk erscheint.
Siehe dazu auch: (ju)
- "Volkssport" Internet-Explorer-Missbrauch auf heise Security
- Demo des Sicherheitslochs auf dem c't-Browsercheck
