Ein falscher Klick führt ins Verderben

5. Oktober 2003, 16:23
91 Postings

Internet Explorer führt beliebige Dateien aus – Keine Abhilfe in Sicht - Demo zeigt, ob auch Sie verwundbar sind

Microsofts Internet Explorer weist ein Sicherheitsloch auf, dank dem ein falscher Klick zur Gefahr werden kann. Grund dafür ist die schlechte Absicherung des Object-Tags, über das ActiveX-Komponenten aufgerufen werden. Dem Tag kann eine Bezugsquelle für das Objekt als URL übergeben werden. Wenn diese in einer "gefährlichen" Dateierweiterungen wie zum Beispiel exe, bat etc. endet, greifen die IE-Sicherheitseinstellungen ein. Sind diese Erweiterugen aber "harmlos" (z.B. .php), werden die Sicherheitseinstellungen übergangen. Nun kann aber der Web-Server die angeforderte PHP-Datei mit einem ausführbaren MIME-Typ versehen und ein Programm kommt zur Anwendung.

Diese Problem wurde von der Sicherheitsfirma eEye aufgedeckt und von Microsoft vermeintlich mit dem Patch in MS03-032.asp behoben. Aber schon bald darauf zeigt malware.com, dass die Probleme weiterhin bestehen.

Nicht neu

Problemem mit ActiveX sind seit etwa drei Jahren bekannt.

Der Fehler betrifft den Internet Explorer 6.0 und 5.x mit allen derzeit bekannten Patches.

Browsercheck

Heise.de bietet einen Browsercheck an, der zeigt, ob auch Sie verwundbar sind. Dabei wird ein Programm nach C:\browsercheck.exe geladen und ohne Nachfrage ausgeführt. Dann wird eine Warnung aufgezeigt.

Bisher gibt es keine entsprechenden Patch von Microsoft, es kann aber in den Sicherheitseinstellungen das "Ausführen von ActiveX und Plugins" unterbinden werde. (red)

  • Bild nicht mehr verfügbar

    Ein falscher Klick kann ins Verderben führen.

Share if you care.