Internet Explorer: Kritische Lücke durch Drag-and-Drop

Im Internet Explorer ist erneut eine kritische Sicherheitslücke aufgetaucht. Über eine speziell präparierte Website können Angreifer beliebige Dateien in den Autostart-Ordner von Windows ablegen.

Die Dateien müssen einem Proof-of-Concept (PoC) des Entdeckers "http-equiv" zufolge, mit Hilfe des Drag-and-Drop-Verfahrens lokal abgelegt werden. In dem erstellten Beispiel wurde eine ausführbare Programmdatei als Bild getarnt. Ist die Datei einmal im Autostart-Ordner wird sie bei jedem Start von Windows ausgeführt. Das PoC erfordert zwar die Drag-and-Drop-Aktion kann aber möglicherweise so umgeschrieben werden, dass ein einfacher Klick auf die Datei zum selben Ergebnis führt.

Das erstellte Beispiel wurde auf einem komplett gepatchtem Windows XP System mit installiertem SP1/SP2 und dem Internet Explorer 6 erfolgreich durchgeführt. Die Sicherheitslücke beruht auf einem Fehler im Active Scripting des Internet Explorers. Bereits Anfang der Woche war eine Variante aufgetaucht, die Spoofing- und Phishing-Attacken ermöglicht. Als Workaround empfiehlt das Sicherheitsunternehmen Secunia das Active Scripting zu deaktivieren oder auf einen anderen Browser umzusteigen.

Über aktuelle Sicherheitslücken informieren Sie die Security Reports von tecCHANNEL. Sie können den Service, der in Zusammenarbeit mit Secunia angeboten wird auch als kostenlosen Newsletter abonnieren. (mja/uba)

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads