MS: General-Patch heilt Internet Explorer

Microsoft hat eine Art Super-Patch für den Internet Explorer entwickelt. Er enthält alle bislang veröffentlichten Patches für den IE ab Version 5.01 bis 6. Zudem schließt er sechs neu entdeckte Lücken.

Der Cumulativ-Pach ist in diversen Sprachversionen vorhanden, unter anderem auch in deutsch. Neben den alten Lücken schließt der Patch auch sechs in jüngerer Vergangenheit entdeckte. Darunter den so genannten Cross-Site-Scripting-Bug, mit dem sich lokal gespeicherte HTML-Dateien missbrauchen lassen. Auch der Verwaltung von Cookies hat sich Microsoft angenommen. Bisher sei es möglich gewesen, durch Scripts fremde Cookies auszulesen. Je nach dort gespeicherter Information können sensible Informationen des Benutzers preisgegeben werden.

Weitere Fehler, die Angreifern meist Tür und Tor öffnen, betreffen unter anderem den Umgang mit HTML-Objekten für Cascading Style Sheets. Mit einer präparierten Webseite (oder per HTML-Mail) und Kenntnis über die Pfade zu den gewünschten Dateien lassen sich über die Lücke lokal gespeicherte Inhalte auslesen.

Des Weiteren behandelt der Patch eine Variante des Zone-Spoofing. Einem Angreifer kann es dabei gelingen, durch eine präparierte Webseite die voreingestellte Sicherheitsstufe des IE zu verlassen. Letztlich kann der Angreifer damit als vertauenswürdiger Intranet-Benutzer agieren.

Zwei weitere Lücken betreffen das Content Disposition-Phänomen. Dabei wird dem Internet Explorer über die Datei-Endung vorgegaukelt, eine Datei sei harmlos und könne automatisch abgehandelt werden. In Wirklichkeit versteckt sich aber ausführbarer Code in der Datei.

Mit dem Patch verändert Microsoft auch die Einstellungen der Zone "Eingeschränkte Sites". Programme, die auf diese Zone zugreifen, darunter Outlook, können nach der Änderung standardmäßig keine Frames mehr in dieser Zone verwenden. Es sei einem Angreifer damit unmöglich, über eine HTML-E-Mail ein Programmfenster zu öffnen oder einen Download anzustoßen, glaubt Microsoft.

Das zugehörige Bulletin MS02-023 mit Links zu den verschiedenen Patches finden Sie hier. Im kurzen Selbstversuch unter Windows XP mit IE 6 machte der Cumulativ Patch zumindest keine Probleme bei der Installation. Zusätzliche Informationen bietet der Report Aktuelle IE-Sicherheitslücken. (uba)