7 gefährliche Sicherheitslücken im Internet Explorer
Sammel-Patch beseitigt acht Sicherheitslecks in Microsofts Browser
Mit einem sogenannten Sammel-Patch flickt Microsoft gleich acht Sicherheitslücken im Internet Explorer, wovon immerhin fünf als gefährlich eingestuft wurden. Der Juni-Sammel-Patch korrigiert ferner zwei Spoofing-Lecks.
Zudm stehen Patches für den JScript-Interpreter und die ART-Grafikbibliothek bereit. Über viele der nun natürlich bekannt gewordenen Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so die umfassende Kontrolle über das fremde System verschaffen.
Immerhin fünf verschiedene Sicherheitslücken im IE kann ein Angreifer für Angriffe missbrauchen, indem er entsprechend präparierte Webseiten bereitstellt. Ferner sind E-Mail-Clients davon betroffen, welche die Rendering-Engine Trident des Internet Explorer für die Darstellung von HTML-Nachrichten einsetzen.
Ein Sicherheitsleck im Internet Explorer tritt auf, wenn Objekte Exception Handler registrieren, die womöglich nicht ganz korrekt vom Browser verarbeitet werden. Ein weiterer Fehler betrifft die Anzeige von HTML-Inhalten mit UTF-8-Kodierung, was den Systemspeicher beschädigt. Mit Hilfe spezieller Daten kann ein Fehler im ActiveX-Steuerelement "DXImageTransform.Microsoft.Light" ausgenutzt werden und ein anderes Sicherheitsloch schlägt zu, wenn bestimmte COM-Objekte sich als ActiveX-Element anmelden und so den Systemstatus schädigen.
Während für die Ausnutzung der oben genannten Sicherheitslecks bereits die Ansicht von Webinhalten genügt, muss das Opfer bei der folgenden Sicherheitslücke aktiver sein. Denn der Angreifer muss erreichen, dass eine präparierte Webseite als Multipart-HTML-Datei gespeichert wird, um so beliebigen Programmcode einzuschleusen.
Durch einen Fehler in der CSS-Verarbeitung des Internet Explorer können Angreifer Daten aus der Sicherheitszone oder -domäne eines anderen Benutzers lesen. Zwei weitere Sicherheitslücken im Internet Explorer erlauben Spoofing-Angriffe, um an vertrauliche Daten anderer Nutzer zu gelangen. Zwei unterschiedliche Fehler überschreiben jeweils den Inhalt eines anderen Browser-Fensters, um Nutzern vorzugaukeln, auf einer vertrauenswürdigen Webseite zu sein, um sich so etwa Zugangsdaten zu Bankkonten oder anderen Zugängen zu verschaffen.
Für die oben aufgeführten Sicherheitslücken im Internet Explorer ab der Version 5.01 bietet Microsoft einen Sammel-Patch zum Download an.
Ein weiteres Sicherheitsleck steckt in der Windows-Komponente zur Darstellung von ART-Bildern, die bevorzugt mit der Rendering Engine des Internet Explorer dargestellt werden. ART-Bilder verwendet vor allem die AOL-Software. Durch einen ungeprüften Puffer können präparierte ART-Dateien zur Programmausführung missbraucht werden. Ein Patch für den Internet Explorer ab der Version 5.01 steht zum Download bereit.
Mit einem weiteren Sicherheits-Patch korrigiert Microsoft einen Fehler im JScript-Interpreter, worüber Angreifer gleichfalls beliebigen Code ausführen können. Denn ein Fehler bei der Freigabe von Objekten kann zu einer Speicherbeschädigung führen. Ein Angreifer muss dazu nur eine präparierte HTML-Seite oder eine HTML-Nachricht bereitstellen bzw. versenden.
Somit gilt wie immer: Dringend updaten!
Quelle: Golem