zurück zum Artikel

Ein Sammelpatch für den Internet Explorer 5.01, 5.5 und 6.0 soll zwei neue, kritische Sicherheitslücken stopfen.

Ein Sammelpatch für den Internet Explorer 5.01, 5.5 und 6.0 soll zwei neue, kritische Sicherheitslücken stopfen. Beide Lücken ermöglichen Angreifern das Ausführen von beliebigem Code. Die erste Sicherheitslücke steckt im "Cross Domain Security Model". Ein Angreifer kann eine speziell präparierte Webseite erstellen, die Dialog-Boxen missbraucht, um vorhandenen Code auf dem Rechner des Opfers auszuführen. Im schlimmsten Fall kann der Angreifer laut Microsoft auch beliebigen Code ausführen.

Die zweite Lücke steckt in der showHelp()-Funktion des Internet Explorer und kann auf die gleiche Weise ausgenutzt werden: Über eine entsprechend manipulierte Webseite kann auch hier beliebiger Code auf dem Rechner des Opfers ausgeführt werden.

Microsoft beschreibt die Sicherheitslücken im Security Bulletin MS03-004 [1] und stellt darüber auch den Sammelpatch [2] zur Verfügung. Die Bugfixes sollen laut Microsoft auch über windowsupdate.com erhältlich sein, jedoch funktioniert das Einspielen dieser Patches über den automatischen Update-Service momentan nicht: Zwar zeigt windowsupdate.com die entsprechenden Patches an, jedoch bricht das Einspielen dieser mit verschiedenen Fehlermeldungen ab. Das Fehlverhalten haben wir unter Windows 98 SE (IE 6.01), Windows 2000 mit Service Pack 3 sowie Windows XP mit Service Pack 1 reproduzieren können. Bis Microsoft das Problem im Griff hat, empfehlen wir, die Patches manuell [3] einzuspielen. (pab)

URL dieses Artikels:
https://www.heise.de/-74237

Links in diesem Artikel:
[1] http://www.microsoft.com/technet/security/bulletin/ms03-004.asp
[2] http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp
[3] http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp

Copyright © 2003 Heise Medien