Lücke bei IE und Media Player trotz Update

16. Oktober 2003, 09:35
posten

Proof-of-Concept-Exploits lassen sich derzeit nur mit einer "Notlösung" schließen

Laut Meldungen der Sicherheitsmailinglisten Bugtraq und Full Disclosure finden sich trotz bereitgestellter Sicherheitsupdates noch immer bekannte Sicherheitslücken in den Microsoft Produkten Internet Explorer und Windows Media Player.

Das kürzlich veröffentlichte Security Bulletin MS 03-040 für die Internet Explorer-Versionen 5.01, 5.5 und 6.0 behebt zwar eine schwere Sicherheitslücke in der Behandlung von Object-Data-Tags, durch die beliebiger Code auf die Festplatte geschrieben und ausgeführt werden kann, der seit September bekannte Fehler bei der Behandlung von ADODB.Stream-Objekten, blieb jedoch weiterhin ungepatcht. Dieser Fehler ermöglicht es mit manipulierten HTML-Dokumenten Zugriff auf die Festplatte eines attackierten Rechners zu erhalten.

"Notlösung"

Ein Angreifer nutzt für einen Angriff über diese Lücke den Windows Media Player. Zu dieser Sicherheitslücke sind schon einige Exploits im Internet aufgetaucht. Allerdings sollen diese nach ersten Angaebn nur beim englischen Windows XP in Kombination mit den Windows Media Player-Versionen 8.0 oder 9.0 auftreten. Als "Notlösung" wird derzeit ein Workaround angeboten, der eine erste Abhilfe schaffen soll. Anwender müssen in den Internetoptionen das Feature "Keine Onlinenmedieninhalte in der Medienleiste anzeigen" deaktivieren - auch das Abstellen von ActiveX wird empfohlen.(red)

Share if you care.