Neue IE-Lücke veröffentlicht
Auf Sicherheits-Mailinglisten wurde erneut ein noch unbekannter Fehler des Internet Explorer veröffentlicht. Im Zusammenspiel von Active-Scripting mit Macromedias Flash-Plugin kann es scheinbar zu einem ungültigen Speicherzugriff kommen, durch den der Internet Explorer schlich und ergreifend abstürzt. Der Autor mit dem Pseudonym "porkythepig" behauptet, dass dabei auch fremder Code ausgeführt werden kann, hat dies aber angeblich nicht getestet.
Der Fehler tritt offenbar auf, wenn ein Flash-Objekt via ActionScript eine VB-Script-Funktion aktiviert, die ihrerseits eine JScript-Funktion mit speziellen document.write()-Befehlen aufruft. Bei ersten Tests von heise Security mit der bereitgestellten Demo stürzte ein voll gepatchter Internet Explorer unter Windows XP SP2 ab und wollte einen Fehlerbericht an Microsoft senden.
Microsoft lässt mit einer Stellungnahme noch auf sich warten und testet derzeit wohl selbst. Somit müssen weitere Untersuchungen zeigen, ob dieser Fehler tatsächlich ernstere Konsequenzen als einen Absturz des Browsers haben kann.
Siehe dazu auch:
Internet Explorer remotely exploitable vulnerability in JScript's document.write() method von "porkythepig": http://www.derkeiler.com/Mailing-Lists/…2/msg00062.html
Quelle: http://www.heise.de