ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Kritische Sicherheitslücke im Internet Explorer

Steffen Weber
49 Kommentare

Michal Zalewski hat am gestrigen Abend detaillierte Informationen veröffentlicht, wie man vollständig gepatchte Versionen von Microsofts Browser zum Absturz bringen und obendrein beliebigen Code ausführen kann. Betroffen sind Internet Explorer 6.0 SP2 und auch die aktuelle Beta 2 des Internet Explorer 7.

Der Entdecker weist explizit darauf hin, dass er Microsoft nicht vorab informiert habe. In Kombination mit der detaillierten Beschreibung der zum Absturz führenden Umstände dürften binnen weniger Tage Webmaster mit krimineller Energie ihren Besuchern schadhafte Programme unterjubeln. Dass Microsoft rechtzeitig einen Patch bereitstellt gilt nicht nur aufgrund der sorglosen Veröffentlichung der Sicherheitslücke ohne vorherige Information des Herstellers als nahezu ausgeschlossen.

Um den Internet Explorer zum Absturz zu bringen, spezifiziert man mehrere tausend Event-Handler (wie beispielsweise „onclick“) für einen HTML-Tag, wobei diese nicht einmal Sinn ergeben müssen. Dies führt dazu, dass Microsofts Browser außerhalb seiner Speichergrenzen schreiben will, wodurch ein Angreifer mit Geschick das Ausführen von beliebigem Code veranlassen kann. Zalewski hat dazu mehr Details veröffentlicht, als es dem Softwaregiganten sowie dessen Kunden lieb sein kann.

Auf der bereitgestellten Demoseite konnten wir den Absturz mit Beta 2 des Internet Explorer 7 reproduzieren, der Entdecker selbst hat einen mit allen Updates versehenen Internet Explorer 6 verwendet. Sollte der Internet Explorer beim Besuch der in seiner E-Mail verlinkten Website nicht sofort abstürzen, so geschehe dies spätestens nach mehrmaligem Neuladen der Seite.

Bis Microsoft einen Patch bereitstellt kann das Surfen mit dem Internet Explorer ein schwer kalkulierbares Risiko darstellen. Zum jetzigen Zeitpunkt ist noch völlig offen, ob Microsoft das Problem erst mit dem nächsten Patchday im April angehen wird oder ob schon vorher auf Drängen der Kunden ein separater Patch zum Download bereitgestellt wird. Andere Browser wie Firefox oder Opera sind von diesem Problem offenbar nicht betroffen.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz