News
25.11.2009, 08:32 Uhr
Löchriger Internet Explorer
Im Internet Explorer (IE) sind zwei Sicherheitslücken entdeckt und veröffentlicht worden. Eine betrifft die IE-Versionen 6 und 7 und kann das Einschleusen von Code ermöglichen. Die andere ist eine XSS-Lücke im IE 8.
In den älteren Versionen 6 und 7 des Internet Explorer ist eine bis dahin unbekannte Sicherheitslücke aufgedeckt worden. Ein kommentarloser Beitrag auf einer Mailing-Liste enthält Beispiel-Code, der den Internet Explorer (IE) zum Absturz bringt. Im davon nicht betroffenen IE 8 ist eine XSS -Lücke enthalten, über die Microsofts Schutzmechanismus gegen XSS-Angriffe missbraucht werden kann.
Die Schwachstelle im IE 6/7 ist von einer unbekannten Person veröffentlicht worden, die sich «securitylab.ir» nennt. Der Sicherheitsdienstleister Secunia bestätigt die als «highly critical» eingestufte Lücke für IE 6 unter Windows XP SP2 sowie IE 7 unter Windows XP SP3. Das Problem stecke in der Programmbibliothek «mshtml.dll» zur Anzeige von Web-Seiten, schreibt VUPEN Security. Es tritt bei der Verarbeitung bestimmter CSS-Anweisungen (Cascading Stylesheets) mit Javascript auf. Der Beispiel-Code benutzt die Javascript-Anweisung «getElementsByTagName()» und eine sehr lange Zeichenkette.
Die Schwachstelle ist unterdessen von Symantec bestätigt worden. Das Einschleusen beliebigen Codes scheint möglich. Der veröffentlichte Code funktioniert jedoch laut Symantec nicht zuverlässig. Es sei jedoch wahrscheinlich, dass bald verbesserter Code auftauchen werde, heisst es im Symantec Security Response Blog. Zum Schutz müsste man Scripting im IE abschalten, wodurch jedoch etliche Webseiten nicht mehr benutzbar wären.
Die Schwachstelle im IE 6/7 ist von einer unbekannten Person veröffentlicht worden, die sich «securitylab.ir» nennt. Der Sicherheitsdienstleister Secunia bestätigt die als «highly critical» eingestufte Lücke für IE 6 unter Windows XP SP2 sowie IE 7 unter Windows XP SP3. Das Problem stecke in der Programmbibliothek «mshtml.dll» zur Anzeige von Web-Seiten, schreibt VUPEN Security. Es tritt bei der Verarbeitung bestimmter CSS-Anweisungen (Cascading Stylesheets) mit Javascript auf. Der Beispiel-Code benutzt die Javascript-Anweisung «getElementsByTagName()» und eine sehr lange Zeichenkette.
Die Schwachstelle ist unterdessen von Symantec bestätigt worden. Das Einschleusen beliebigen Codes scheint möglich. Der veröffentlichte Code funktioniert jedoch laut Symantec nicht zuverlässig. Es sei jedoch wahrscheinlich, dass bald verbesserter Code auftauchen werde, heisst es im Symantec Security Response Blog. Zum Schutz müsste man Scripting im IE abschalten, wodurch jedoch etliche Webseiten nicht mehr benutzbar wären.
Im Internet Explorer 8 ist bereits vor längerer Zeit eine XSS -Schwachstelle (Cross-Site Scripting) entdeckt, jedoch erst jetzt veröffentlicht worden. Microsoft soll schon vor Monaten informiert worden sein. Das britische News-Portal The Register berichtet, der Fehler stecke in Microsofts Schutzmassnahme zur Verhinderung von XSS-Angriffen. Dadurch sei es möglich Angriffe auf eigentlich sichere Websites zu starten.
Dazu müsste ein Angreifer den XSS-Schutz im IE dazu bringen, den Code einer Web-Seite so umzuschreiben, dass ein XSS-Angriff möglich wird. Aus diesem Grunde hat Google auf seinen Websites offenbar eine Option zum Ausschalten des XSS-Schutzes aktiviert. Google fügt dazu die Zeile «X-XSS-Protection: 0» in die Header seiner Seiten ein - nach eigenen Angaben, um ebendiese Schwachstelle im IE zu vermeiden.
Dazu müsste ein Angreifer den XSS-Schutz im IE dazu bringen, den Code einer Web-Seite so umzuschreiben, dass ein XSS-Angriff möglich wird. Aus diesem Grunde hat Google auf seinen Websites offenbar eine Option zum Ausschalten des XSS-Schutzes aktiviert. Google fügt dazu die Zeile «X-XSS-Protection: 0» in die Header seiner Seiten ein - nach eigenen Angaben, um ebendiese Schwachstelle im IE zu vermeiden.
Kommentare
Es sind keine Kommentare vorhanden.
