Zwei kritische Sicherheitslücken bei Internet Explorer

6. Juni 2003, 09:00
26 Postings

Alle aktuellen Versionen betroffen - Sicherheitsupdate soll verhindern, dass Angreifer gefährliche Codes auf den Server bringen

Microsoft warnt in seiner Security Bulletin MS03-20 vor zwei kritischen Sicherheitslücken in seinem Internet Explorer. Betroffen sind nach Angaben des Softwarekonzerns die Versionen 5.01, 5.5 und auch 6.0.

Sammelpatch bereit

Selbst der Internet Explorer 6.0 für Windows Server 2003 bleibt nicht verschont. Die Lecks erlauben einem Angreifer den vollständigen Zugriff auf das System seines Opfers. Der Konzern hat bereits Sammelpatches zum Download bereitgestellt.

Die Lücken im Detail

Die erste Sicherheitslücke ergibt sich aus der Möglichkeit zu einer Buffer-Overflow-Attacke, weil der Internet Explorer von einem Web-Server stammende Objekt-Typen nicht korrekt bestimmt. Um dieses Leck auszunutzen muss der Angreifer sein Opfer nur auf eine entsprechend präparierte Webseite locken oder eine HTML-Mail zusenden.

Das zweite Leck betrifft einen Fehler im Handling der Dialogbox für File-Downloads. Auch über diese Sicherheitslücke kann ein Angreifer beliebige Codes auf dem System seines Opfers ausführen. Der Angreifer muss wieder sein Opfer nur auf eine vorbereitete Webseite locken, weitere Aktionen des Benutzers sind nicht notwendig. Das Leck kann aber auch mit einer HTML-Mail ausgenutzt werden.

Auch auf Deutsch erhältlich

Microsoft empfiehlt allen Benutzern, den Sicherheits-Patch für ihren Internet Explorer einzuspielen. Die Sammelpatches für alle betroffenen Versionen, die auch mehrere andere kürzlich entdeckte Sicherheitslücken verschließen, können bereits in Deutsch über das Download-Service von Microsoft heruntergeladen werden.

"Trustworthy Computing nicht gescheitert

Trotz des ersten Securityupdates sieht Microsoft seine Trustworthy Computing-Initiative nicht als gescheitert an - der Windows Server 2003 ist das erste Produkte, dass die harten Tests hinter sich gebracht hatte. Die Sicherheitslücke hat nur geringe Auswirkung auf die Server-Software selbst, sondern taucht erst in Verbindung mit Diensten in Windows auf, die standardmäßig inaktiv geschaltet sind. Ältere Windows-Produkte haben diese Services allerdigns aktiviert und bieten so eine Angriffsfläche. (pte/red)

Share if you care.