Schwere Sicherheitslücke in IE 5.x und 6

Zum zweiten Mal in zwei Wochen fällt Microsofts Internet Explorer durch eine gravierende Sicherheitslücke unangenehm auf. Ein Pufferüberlauf bei der Behandlung von Objekt-Tags in HTML-Code erlaubt Angreifern, beliebigen Code auf dem attackierten System auszuführen

Ein Angriff kann bei allen Gelegenheiten ansetzen, bei denen der Internet Explorer HTML-Code parst. Damit lassen sich Attacken nicht nur über Webseiten, sondern auch per E-Mail oder über Newsgroups erfolgen.

Laut Microsoft sind die IE-Versionen 5.01 Service Pack 3, 5.5 SP2, 6.0, 6.0 SP1, und Internet Explorer 6.0 für Windows Server 2003 auf jeden Fall betroffen. Daneben könnte die Sicherheitslücke auch ältere Varianten betreffen.

Als Ursache der Sicherheitslücke wurde ein Begrenzungsfehler bei der Behandlung von Objekt-Tags ausgemacht. Das Tag "object" dient dazu, in HTML-Code Objekte wie etwa ActiveX-Controls einzufügen. Es verfügt über die Eigenschaft "type", die den MIME-Typ des Objekts angibt. Typischerweise finden sich hier Werte wie "audio/x-mpeg", "plain/text", "application/hta" und andere mehr.

Der Puffer, der die "type"-Egenschaft aufnimmt, wird von IE zwar überprüft. Jedoch lässt sich dieser Check durch Einfügen spezieller Zeichen aushebeln. Das führt zu einem Stack-basierten Überlauf, durch den der Angreifer beliebigen Code auf dem attackierten System ausführen lassen kann.

Im Security Bulletin zu dieser Sicherheitslücke merkt Microsoft an, dass die Default-IE-Konfiguration auf Windows 2003 Server für diesen Angriff nicht anfällig sei. Dort laufe der Webbrowser in der Enhanced Security Configuration, die einen Exploit verhindere. Das ist zwar korrekt; allerdings verhindert diese Einstellung auch, dass ActiveX-Content in Sites der Internet-Zone ausgeführt wird. Daher ist dieses Setting auf vielen Systemen abgeschaltet und sind diese ebenfalls verwundbar.

Microsoft stellt über Windows Update sowie zwei Downloads (getrennt für Windows Server und alle anderen Versionen) Patches für die Sicherheitslücke bereit. Die kumulativen Patches beheben zusätzlich eine ähnlich gravierende Schwäche, die Ende Mai entdeckt worden war. Über diese kann ein Angreifer ebenfalls via HTML Dateien auf das System laden und ausführen.

Topaktuelle Informationen über Sicherheitslücken von Soft- und Hardware bietet Ihnen unser kostenloser tecCHANNEL Security Newsletter. Er liefert per E-Mail in deutscher Sprache aus über 200 Quellen kompilierte, von Spezialisten evaluierte und erläuterte Advisories frei Haus. Die Vulnerabilities der letzten sieben Tage führt zudem unser Security-Report-Überblick auf. (jlu)