Windows 2000: Neue Bugs und Fixes
Wichtiges Security-Update für IE
Ein Fehler beim Parsen von URLs, die spezielle Zeichen enthalten, kann dazu führen, dass in der Statusleiste des Internet Explorer eine andere URL angezeigt wird, als die tatsächlich bei einem Klick aufgerufene.
Des Weiteren ermöglicht eine Lücke im Sicherheitsmodell, das die verschiedenen Zonen (Internet, Vertrauenswürdige Sites, Lokaler Rechner ...) voneinander abschotten soll, die Ausführung von Scripten mit den Rechten des lokalen Benutzers.
Die beiden Sicherheitslücken lassen sich durch eine speziell aufgebaute Webseite ausnutzen, die entweder auf einem Server bereitgestellt oder dem Opfer per E-Mail zugestellt wird. Bei der ersten Lücke muss das Opfer zusätzlich auf einen Link klicken.
Über die zweite Lücke kann der Angreifer, sofern das Opfer über entsprechende Privilegien verfügt, beliebige Programme aus dem Internet herunterladen und installieren. Daher ist eine erste Schutzmaßnahme gegen derartige Angriffe, dass man Accounts für die tägliche Arbeit nur mit eingeschränkten Rechten ausstattet.
Die Anzeige gefälschter URLs im Browser hat Microsoft durch einen radikalen Schritt gelöst. Die Unterstützung für Benutzernamen und Passwörter in URLs im Internet Explorer wurde schlichtweg abgeschafft. Also ist der Aufruf einer Website mittels der Syntax "http(s)://username:password@server/resource.ext" nach Einspielen des Updates nicht mehr möglich.
Nähere Informationen zum URL-Spoofing finden Sie in unserem Security-Newsletter unter der ID 1652.
Die Umgehung des Sicherheitsmodells ist im Security-Newsletter ID 1549 beschrieben.
Datum | 02.02.2004/Update 10.02.2004 |
---|---|
Betrifft | Windows Internet Explorer 5.01, 5.5 und 6 |
Wirkung | Angreifer kann gefälschte URLs im IE anzeigen oder Programme einschleusen |
Patch | |
Abhilfe | Patch installieren |
Infos |