IE - Sechs Jahre alte Lücke wieder aufgetaucht

  • Quelle: http://www.pcwelt.de/news/sicherheit/100870/index1.html

    Zitat

    Im Internet Explorer 6 ist eine Lücke wieder aufgetaucht, die eigentlich bereits seit 1998 beseitigt sein sollte. Über das Einspeisen von Content in Frames beliebiger Browserfenster können Angreifer den Inhalt von Webseiten fälschen und so dem arglosen User Schadcode unterschieben. Das berichtet unsere Schwesterpublikation Tecchannel .

    Mit einem selbst aus dem entsprechenden Posting auf der Security-Liste FullDisclosure noch deutlich herauszulesendem, breiten Grinsen beschreibt der "Wiederentdecker" http-equiv die Schwachstelle als "Super-Spoof deluxe, zweite Runde".

    Diese Sicherheitslücke ähnelt stark einer seit längerem bekannten Schwachstelle, die eigentlich seit Dezember 1998 mit dem Security Bulletin MS98-020 in Internet Explorer 3 und 4 beseitigt sein sollte.

    Das Problem wird dadurch verursacht, dass Internet Explorer es dem Angreifer ermöglicht, beliebige Inhalte von einer präparierten Website in einem beliebigen Frame eines anderen Browserfensters anzuzeigen. So kann der Angreifer dem Benutzer schädlichen Content unterschieben, der von einer vertrauenswürdigen Website zu stammen scheint. http-equiv hat dazu ein Beispiel veröffentlicht, das beliebige Inhalte in einem Frame auf windowsupdate.microsoft.com anzeigt.

    Das sagt Heise.online dazu:
    Quelle: http://www.heise.de/newsticker/meldung/48725

    Zitat

    Zitat:
    Laut Meldung ist ein vollgepatchter Internet Explorer unter Windows XP, wahrscheinlich sogar mit SP2 RC1, verwundbar. Ein Patch oder Workaround gibt es nicht. heise Security empfiehlt Anwendern, einen anderen Browser zu benutzen.

    Gibt es eigentlich noch einen Grund für den IE? :P Ich glaube wohl eher nur noch für Zocker. :D

    HENIC

    Wirklich abergläubisch ist, wer auf sein 13. Monatsgehalt verzichtet.

  • Ach du meine Güte! :shock:

    Da wird Microsoft ja immer schlechter wenn sie nicht mal eine(!) seit Jahren bekannte Schwachstelle heute immer noch nicht geschlossen haben.

    Darüber kann man als Firefox-user heutzutage nur schmunzeln. :)

    Athlon 1600+, 1GB RAM, MS XP Home SP2, Firefox 1.5, Thunderbird 1.5
    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1

  • die lücke wurde geschloßen ;).

    sie wurde aber dank anderen patches wieder geöffnet ;).

    das kann immer passieren ;)

    außerdem MS hat extra rechner für solche tests. fällt denen nichts auf gilt sie als geschloßen. allerdings gibt es tausende von rechnern und somit kann die lücke bei den einen noch offen sein und beim andren gar nicht bemerkt sein

  • Jedenfalls häufen sich die problematischen Bugs offenbar derartig, daß selbst auf der Seite slate.msn.com inzwischen in einem Artikel zum Firefox geraten wird :wink:

    Are the Browser Wars Back?
    How Mozilla's Firefox trumps Internet Explorer.
    --> http://slate.msn.com/id/2103152/

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8 ) Gecko/20051025 Firefox/1.5