zurück zum Artikel

Patch für kritische Sicherheitslücke im Internet Explorer

Lars Bremer

Eine schwere Sicherheitslücke im Internet Explorer und in älteren Opera-Versionen erlaubt Angreifern, beliebige Programme auf dem lokalen Rechner auszuführen.

Das von der finnischen Firma Online Solutions [1] entdeckte schwere Sicherheitsloch [2] im Internet Explorer hat Microsoft jetzt gestopft. Die neuesten Patches [3] sind seit gestern in einem Sammel-Update verfügbar.

Die Verwundbarkeit ermöglicht es potenziellen Angreifern, beliebige Programme auf dem Rechner des arglosen Surfers zu starten. Dabei wird diesem beim Download einer Datei durch die Manipulation der übertragenen Dateiinformationen vorgespiegelt, er würde zum Beispiel eine harmlose Textdatei öffnen. Betroffen von diesem Problem sind laut Online Solutions die Internet-Explorer-Versionen 5.0, 5.5, 5.5 mit Service Pack 2 und 6.0, während Microsoft nur von 5.5 und 6.0 spricht. Anscheinend führen einige Versionen ein auf diese Weise getarntes Programm sogar ohne weitere Nachfrage aus, andere fragen nach, zeigen aber nur den gefälschten Dateinamen an.

Auch der bislang als sehr sicher geltende Opera-Browser lässt sich so aufs Glatteis führen, zumindest in der Version 5.12. Öffnet der Anwender die vermeintliche Text-Datei, führt der Browser ohne weitere Nachfrage das Programm aus. Opera 6.0 hingegen zeigt den Namen der ausführbaren Datei korrekt an, ebenso Netscape 4.x. Netscape 6 erkennt das Problem nicht, hält sich aber an die Dateiinformation und zeigt ein ihm auf diese Weise untergeschobenes Programm einfach im Editor an.

Einen ersten Test für die Sicherheitslücke, der bislang aber nur mit dem Internet Explorer 5.5 SP2 und Opera 5.12 funktioniert, finden Sie auf der c't-Browsercheck-Seite [4]. (lab)

URL dieses Artikels:
https://www.heise.de/-51374

Links in diesem Artikel:
[1] http://www.solutions.fi/
[2] https://www.heise.de/news/Schweres-Sicherheitsloch-im-Internet-Explorer-50725.html
[3] http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-058.asp
[4] http://www.heise.de/ct/browsercheck/

Copyright © 2001 Heise Medien