Internet Explorer: Kritische Lücke durch Drag-and-Drop
Die Dateien müssen einem Proof-of-Concept (PoC) des Entdeckers "http-equiv" zufolge, mit Hilfe des Drag-and-Drop-Verfahrens lokal abgelegt werden. In dem erstellten Beispiel wurde eine ausführbare Programmdatei als Bild getarnt. Ist die Datei einmal im Autostart-Ordner wird sie bei jedem Start von Windows ausgeführt. Das PoC erfordert zwar die Drag-and-Drop-Aktion kann aber möglicherweise so umgeschrieben werden, dass ein einfacher Klick auf die Datei zum selben Ergebnis führt.
Das erstellte Beispiel wurde auf einem komplett gepatchtem Windows XP System mit installiertem SP1/SP2 und dem Internet Explorer 6 erfolgreich durchgeführt. Die Sicherheitslücke beruht auf einem Fehler im Active Scripting des Internet Explorers. Bereits Anfang der Woche war eine Variante aufgetaucht, die Spoofing- und Phishing-Attacken ermöglicht. Als Workaround empfiehlt das Sicherheitsunternehmen Secunia das Active Scripting zu deaktivieren oder auf einen anderen Browser umzusteigen.
Über aktuelle Sicherheitslücken informieren Sie die Security Reports von tecCHANNEL. Sie können den Service, der in Zusammenarbeit mit Secunia angeboten wird auch als kostenlosen Newsletter abonnieren. (mja/uba)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50% billiger als Buch) |