Achtung: Schon wieder offenes Sicherheitsloch im MSIE

[Funkenzupfer]

28.09.06 (13:20)
Noch am Tag, an dem Microsoft endlich die VML-Lücke geschlossen hat, finden sich im Internet Seiten, die einen weiteren, bislang ungepatchten Fehler im Internetexplorer ausnutzen.

Dem Sicherheitsdienstleister Secunia zufolge ist das bereits seit langem als Angriffsziel bekannte Active-X wieder einmal ursächlich beteiligt. Das mangelnde Sicherheitskonzept von Active-X ermöglicht immer wieder Angriffe auf Windos-PC's.
Diesmal steckt der Fehler im Active-X-Control "WebViewFolderIcon". Ein Angreifer kann mit einer präparierten Webseite beliebigen Schadcode einschleusen und Programme auf dem angegriffenen Rechner ausführen.

Da auch andere Programme die schadhaften Komponenten des IE verwenden, sind diese ebenso anfällig, dazu gehören z.B. Outlook und Outlook Express sowie eine Reihe anderer Anwendungen.

Microsoft hat erwartungsgemäß noch nicht reagiert, es gibt noch keine Bestätigung. Solange noch kein Flickzeug ausgeliefert wird, und auch sonst keine Maßnahmen zur Schadensbegrenzung benannt werden, sollte Active-X beim Surfen im Internet völlig deaktiviert werden, auch wenn man dann einige Seiten nicht mehr zu sehen bekommt. Das ist der Preis für die gewonnene Sicherheit.


Quelle: Secunia.

[Bit]

KillBit könnte bis zum Patch überbrücken.

http://patch-info.de/WinXP

[Funkenzupfer]

Update:

Mittlerweile hat Microsoft zu diesem Fehler ein Advisory veröffentlicht, aus dem hervorgeht, daß der Fehler am kommenden Patch-Tag (10. Oktober) behoben werden soll.

Bis dahin kann man, wie bit empfiehlt, das Killbit in der Registry setzen. Dieser Weg wurde von Microsoft im Advisory nun bestätigt, sodaß wir ihn hier vorstellen.

Das Killbit für das fehlerhafte Active-X-Contol kann man lt. Microsoft setzen, indem folgende Zeilen in einen Editor kopiert und als Datei mit der Dateinamenserweiterung .reg gespeichert wird. Diese Datei muß dann einmal auf jedem Rechner per Doppelklick ausgeführt und damit die enthaltenen Informationen in seine Registrierung eingetragen werden.

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e5df9d10-3b52-11d1-83e8-00a0c90dc849}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{844F4806-E8A8-11d2-9652-00C04FC30871}]
"Compatibility Flags"=dword:00000400

Betroffene Produkte:

Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows XP Professional for Itanium-based systems
Microsoft Windows XP Professional for Itanium-based systems
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Media Center Edition 2002
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003 Service Pack 1, when used with:
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows XP Service Pack 1, when used with:
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition 2002
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Tablet PC Edition 2005
Microsoft Windows XP Media Center Edition 2005
Microsoft Windows XP Service Pack 2, when used with:
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional x64 Edition
Microsoft Windows 2000 Service Pack 4

Weitere Details: http://support.microsoft.com/kb/926043