Internet Explorer weiter offen für Angriffe

16. Juli 2004, 13:59
20 Postings

Microsoft-Patch behebt bekannte schwerwiegende Probleme nur mangelhaft

Auf die zahlreichen Exploits für altbekannte Sicherheitslücken im Internet Explorer, die unter anderem die Installation eines Trojaners durch alleiniges Ansurfen einer Webpage erlauben, hat Microsoft am vergangenen Freitag mit einem Update außerhalb des üblichen monatlichen Zyklus reagiert. Allein, auch dieser Patch scheint wieder nicht alle Lücken zu schließen.

Trojanisch

Wie Sicherheitsexperten auf der Mailing List Full Disclosure momentan heftig diskutieren, scheinen einige der Einfallstore für AngreiferInnen offen geblieben zu sein. So böten auch einige andere ActiveX-Komponenten, neben dem mit dem IE-Update deaktivierten ADODB.Stream, die Möglichkeit Dateien zu installieren und zu starten.

Unerfreulich

Auch bleibt mit dem Update die Lücke im Zonenmodell des IEs unangetastet, die es AngreiferInnen ermöglicht Zugriff auf die lokale Zone - und den damit verbundenen Zugriff auf Systemressourcen - zu erhalten. So sorgt die Patch-Politik von Microsoft weiterhin für Verwunderung unter den ExpertInnen, vor allem die Frage, warum es 10 Monate dauert eine einfache Registry-Änderung als Update anzubieten, und diese dann auch noch unvollständig ist, muss sich der Softwarekonzern wohl gefallen lassen.

Browserwechsel

Zahlreiche ExpertInnen raten unterdessen zu einem Umstieg auf alternative Browser, darunter pikanterweise auch das im Besitz von Microsoft befindliche MSN Slate-Magazin. (red)

  • Artikelbild
    montage: redaktion
Share if you care.