Alfred's DSL Blog - News rund um DSL

Sicherheitslücke im Internet Explorer

Die auf der Sicherheitskonferenz Black Hat DC vorgeführte Lücke im Internet Explorer wurde von Microsoft bestätigt. Das Unternehmen gab gleichzeitig eine Warnung heraus. Durch diese Lücke wird es einer präparierten Webside ermöglicht, auf dem Computer auf beliebige Dateien zuzugreifen und diese auszulesen, sofern der Angreifer den konkreten Dateinamen und den Pfad kennt. Jedoch sind sie bei den üblichen Standartinstallationspfaden in der Regel bekannt.

Protected Mode schützt vor Angriff

Betroffen sind grundsätzlich alle Versionen von 5.01 bis 8 des Internet Explorers auf allen noch unterstützten Windows-Plattformen. Unter Vista, Server 2003/2008 und unter Windows 7 lässt sich die Lücke nicht ausnutzen, solange im Webbrowser der geschützte Modus aktiviert ist. Standardmäßig ist dieser so genannte Protected Mode immer aktiviert.
Zur Zeit forscht Microsoft gerade daran eine Lösung zu finden. Entdeckt wurde die Lücke von Jorge Luis Alvarez Medina, der für das Unternehmen Core Security Technologie tätig ist. Dieser unterstrich bereits mehrfach, dass diese nicht einfach zu finden sei. Das konkrete Problem besteht darin, dass wenn eine Pfadangabe im Browser im UNC-Format angegeben ist, die Sicherheitszonen im Explorer nicht immer greifen. Unter bestimmten Voraussetzungen kann ein Java-Script aus der Internet-Zone auf eine lokal abgelegte Datei zugreifen. Auch wenn das Zonenmodell dieses verbietet.

Bis zur Problemlösung ist ein Fix-It-Tool erhältlich

Bereits in den Jahren 2008 und 2009 hat das Unternehmen Core Security zwei solcher Cross-Domain-Schwachstellen an Microsoft gemeldet. Diese stellten in beiden Fällen ein Update bereit. Ohne das eigentliche Problem zu lösen, flickte das Unternehmen bisher nur an einer Stelle. Um lokale Dateien auslesen zu können, hat Medina jetzt einen weiteren Weg gefunden. Damit er die von Microsoft erstellten Hürden überwinden kann, machte er sich eine Schwäche beim Verarbeiten von OBJEKT-Tags und einen Fehler bei der Ermittlung von MIME-Types von lokalen Dateien zunutze.
Solange das Problem nicht behoben ist, bietet Microsoft einen Fix-It-Tool an, der heruntergeladen werden kann. Mit diesem Tool unterstützt der Internet-Explorer das file-Protokoll nicht mehr. Jedoch könnten hierdurch aber Probleme mit anderen Anwendungen auftreten.

Autor: Alfred
Geschrieben am: Donnerstag, den 4. Februar 2010

Einen Kommentar schreiben

DSL-Tarifrechner - finden Sie den passenden Tarif

Welche Geschwindigkeit wünschen Sie?
UMTS Mobile Lösung: Mit Handy, Smartphone oder Laptop jetzt unterwegs mobil surfen! DSL 6000 Standardlösung: Für Multimedia Anwendungen wie Video Chat und Filesharing geeignet. DSL 16000 Power Lösung: Der unbegrenzte Zugang für maximale Ansprüche. DSL, VDSL, Kabel Entertainment Lösung: Triple Play sind Pakete die Internet, Telefon und digitales Fernsehen enthalten.
(Angebot der zutreffenden Tarife unverbindlich anschauen)