Neuer Open Source- Patch für den Internet Explorer

7. Jänner 2004, 10:39
18 Postings

Stoppt Schwindel mit URLs – hat keine Fehler mehr, versprechen die Macher

In Microsofts Internet Explorer wurde in den vergangenen Woche ein Fehler entdeckt (Der Webstandard berichtete), der die Adressen von Websites verschleiert. Dabei genügt das Einfügen der Zeichenfolge %01 vor einem @-Zeichen, um eine danach folgende bösartige Web-Adresse zu verstecken.

Kein Patch von Microsoft

Microsoft selbst hat bisher nur eine Beschreibung, wie das Problem in den meisten Fällen verhindert werden kann, öffentlich gemacht. Der Softwarekonzern hat jedoch noch keinen Patch zur Verfügung gestellt.

Openwares hatte jedoch einen Patch zur Verfügung gestellt, dessen Source Code sogar frei war.

Sicherheitsrisiko

Dieser stellt aber selbst offensichtlich ein Sicherheitsrisiko, wie heise online durch einen Blick auf den Source Code herausgefunden haben will: Überlange URLs (ab 500 Zeichen) können nach Aufspielen des Patches zu einem Buffer Overflow führen, dies führt nicht nur zum Absturz des Browsers sondern kann auch zur Einschleusung von Code-Teilen auf einen verwundbaren Rechner benutzt werden (Der Webstandard berichtete).

Zweiter Versuch

Nun steht einer neuer Patch zum Download bereit, laut den Entwicklern sollen hier alle Sicherheitsprobleme beseitigt worden sein.

Browser-Tests

Ob auch Ihr Browser von dem Problem betroffen ist, können Sie hier testen.

Auch bei Openwares finden sich zwei Tests, die Microsoft oder Paypal Seiten vortäuschen.(red)

Share if you care.