WinFuture-Forum.de: Weitere Schwachstellen Im Ie - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 2 Seiten +
  • 1
  • 2

Weitere Schwachstellen Im Ie


#1 Mitglied ist offline   reiner 

  • Gruppe: aktive Mitglieder
  • Beiträge: 485
  • Beigetreten: 10. November 03
  • Reputation: 0
  • Wohnort:Magdeburg

geschrieben 07. Juni 2004 - 12:02

Heise.de - 07.06.2004 , 11:44
http://www.heise.de/...r/meldung/47993
Auf der Sicherheitsmailing-Liste Full Disclosure ist ein Security Advisory erschienen, das auf neue Fehler im Internet Explorer 6.0 hinweist, mit der es Angreifern möglich sein soll, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Dem Advisory zufolge werden diese Fehler bereits von einigen Webseiten aktiv ausgenutzt. Dabei reiche der Besuch einer Webseite ohne weitere Benutzerinteraktion aus, um unbemerkt Trojaner und Adware installiert zu bekommen.
Der bereits durch frühere Veröffentlichungen zu Sicherheitslücken in Microsofts Browser bekannte Sicherheitsspezialist Jelmer analysiert in seinem Advisory detailliert die Funktion des neuen Angriffs, der aus einer Kombination mehrerer alter und mindestens zwei bisher unbekannter Lücken im Internet Explorer 6.0 besteht. Der mehrstufige Exploit lädt unter anderem besonders codiertes JavaScript auf das System, um die Arbeitsweise zu verschleiern und Virenscanner auszutricksen. Außerdem setzt er diverse Tricks ein, um den eigentlich zur Internet-Zone gehörenden Code in der lokalen Zone -- die standardmäßig fast keine Sicherheitseinschränkungen kennt -- auszuführen.
Jelmer hat in seiner Analyse zwar auf zwei harmlose Demonstrationen der Schwachstellen verlinkt, die bei einem voll gepatchten Internet Explorer 6.0 SP1 funktionieren sollen. Bei ersten Tests in der heise-Security-Redaktion versagten sie allerdings, was aber auch an den unterschiedlichen Programmpfaden englischer Windows-Versionen liegen kann. Sofern sich die Funktion des Exploits bestätigt, wird er in den c't-Browsercheck aufgenommen.
0

Anzeige



#2 _titan_aus_kiel_

  • Gruppe: Gäste

geschrieben 07. Juni 2004 - 12:06

wird wohl nicht das letzte mal sein...
0

#3 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 07. Juni 2004 - 21:43

Hm... damit wären wir jetzt bei 19 ungepatchten Sicherheitslücken, davon sind 2 nicht mit den Einstellungsmöglichkeiten vom IE behebbar...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#4 _simcard_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 00:03

08.06.2004 00:07

Zitat

Das gemeldete Sicherheitsloch im Internet Explorer erlaubt es tatsächlich beliebigen Web-Seiten, Dateien aus dem Internet herunter zuladen und zu starten. heise Security konnte diesen Vorgang auf einem voll gepatchten System mit Windows XP und Internet Explorer 6 reproduzieren. Der c't-Browsercheck stellt eine für deutsches Windows XP angepasste Version der Original-Demo bereit. 

Dieser Exploit markiert eine neue Generation von Sicherheitsproblemen im Internet Explorer. Die bisher bekannt gewordenen Sicherheitslöcher des Microsoft Browsers wurden zunächst auf Sicherheits-Mailinglisten wie Full Disclosure diskutiert. Angreifer modifizierten erst später die harmlosen Demos, um sie für ihre Zwecke zu missbrauchen und Dialer oder Trojaner zu installieren. Diesmal wurden Sicherheitsexperten erst durch eine bösartige Seite auf das Problem aufmerksam und entwickelten daraus eine Demonstration. Erste Hinweise auf ein solches, bisher unbekanntes Sicherheitsloch gab es bereits Mitte Mai; es wurde also bereits seit etwa einem Monat aktiv ausgenutzt. Die von Jelmer analysierte, bösartige Web-Seite codierte den enthaltenen JavaScript-Code sogar, um Alarmmeldungen von Antiviren-Software zu verhindern.

Offensichtlich suchen Virenbastler mittlerweile selbst aktiv nach neuen Sicherheitslöchern im Internet Explorer. Wer Active Scripting für die Internet-Zone eingeschaltet hat, muss künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren. Anders als prominent platzierte Defacements bleiben solch minimale Änderungen oft längere Zeit unbemerkt. Tipps wie Sie Ihren Browser sicher konfigurieren können, gibt der c't-Browsercheck und der Artikel "Verrammelt, Internet Explorer sicher konfigurieren" in c't 13/04, die am 14.6.04 am Kiosk erscheint.


http://www.heise.de/...s/meldung/47993


G-Data scheint darauf

Zitat

Die von Jelmer analysierte, bösartige Web-Seite codierte den enthaltenen JavaScript-Code sogar, um Alarmmeldungen von Antiviren-Software zu verhindern.
schon reagiert zu haben, seit heute gibts für AVK 2004 wieder ein 3 MB großes Software-Update :angry:

Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:06

0

#5 _simcard_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 00:08

Erkennts ein guter Virenscanner wie z.B. AVK eigentlich dann sonen Trojaner wenn der sich via Exploit einschleust? Oder erkennt ders wenigstens dann bei einem Systemscan?

Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:08

0

#6 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. Juni 2004 - 00:20

Wie armselig den Browser-Cache scannen zu müssen - für mich ist das eine reine Geschiwndigkeitsbremse. Und mit Firefox absolut auch nicht nötig, wogegen beim IE trotzdem noch 17 schwere Lücken verbleiben, die man vor allem teilweise nicht generisch erkennen kann.

Mal ganz davon abgesehen daß der IE wie jeder andere Browser auch im RAM cachet und daher der Exploit nicht notwendigerweise vor seiner Ausführung auf der Platte landet, wo er vom Geladen-Werden abgehalten werden könnte. :angry:

BTW, Heise stellt sich echt zu dämlich an, der Exploit funktioniert einwandfrei...

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 00:20

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#7 _simcard_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 00:22

a) hmm? wie kommst du denn zu diesem Exploit? Sag nicht man kann sich das irgendwo runterladen :angry:
b) wieso stellen die sich bei heise.de dumm an? test hat doch geklappt :angry:
c) Wie finden solche "Sicherheitsexperten" denn diese Exploits? Untersuchen die von jeder Webseite den Quelltext oder wie?
d) warum kann man den Hoster der Seiten net zwingen diese zu closen?

fragen fragen fragen ;)

Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:23

0

#8 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. Juni 2004 - 00:28

a) Du folgst dem angegebenen Link der Meldung. Dort kannst du den Exploit auch herunterladen.
b) Nein, bei ihnen klappte der Test nicht, weil sie sich zu dumm anstellen, die Pfade für den ADODB.stream-Exploitteil korrekt anzupassen. Und weil sie in ihrem Browser-Check 13 bekannte ungepatchte Sicherheitslücken ignorieren.
c) Steht doch da - dieser Exploit wurde auf einer zwielichtigen Seite entdeckt. Sonst findet man solche nur per Zufall (z.B. die CSS NullPointer Exceptions), durch systematische Suche (Ressource Exhaustion durch ? bzw. # - OBJECT-Referenzen) oder durch Variantion von alten, meist halbherzig gepatchten Lücken (Local Zone Injection).
d) Kann man.

Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 00:29

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#9 _simcard_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 00:31

Zitat

a) Du folgst dem angegebenen Link der Meldung. Dort kannst du den Exploit auch herunterladen.

... und in die eigene Webseite einbauen bzw. eine hacken und dort einschleusen, ziemlich fahrlässig solche Exploits zum Download anzubieten :angry:

Zitat

b) Nein, bei ihnen klappte der Test nicht, weil sie sich zu dumm anstellen, die Pfade für den ADODB.stream-Exploitteil korrekt anzupassen. Und weil sie in ihrem Browser-Check 13 bekannte ungepatchte Sicherheitslücken ignorieren.

-->

Zitat

Das gemeldete Sicherheitsloch im Internet Explorer erlaubt es tatsächlich beliebigen Web-Seiten, Dateien aus dem Internet herunter zuladen und zu starten. heise Security konnte diesen Vorgang auf einem voll gepatchten System mit Windows XP und Internet Explorer 6 reproduzieren. Der c't-Browsercheck stellt eine für deutsches Windows XP angepasste Version der Original-Demo bereit.

heisst doch das sie es testen konnten und rausfanden dass er geht ;) Reicht doch aus... :angry:

Zitat

c) Steht doch da - dieser Exploit wurde auf einer zwielichtigen Seite entdeckt. Sonst findet man solche nur per Zufall (z.B. die CSS NullPointer Exceptions), durch systematische Suche (Ressource Exhaustion durch ? bzw. # - OBJECT-Referenzen) oder durch Variantion von alten, meist halbherzig gepatchten Lücken (Local Zone Injection).


axo :angry:

Zitat

d) Kann man.

na dann sollte man mal was tun... weisst du zufällig auf welcher Seite dieser Exploit gefunden wurde bzw. (falls Link posten verboten ist) weisst du ob die Seite noch existiert?
0

#10 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. Juni 2004 - 09:31

1. Ach, und den IE zu benutzen ist etwa nicht fahrlässig?
2. Die haben die Meldung verändert. Vorher stand dort, daß sie den Exploit noch nicht nachvollziehen konnten, weil sie die Datei-Pfade nicht anpassen konnten.
3. Steht ebenfalls auf der Seite.

Zitat

http://216.130.188.2...2/installer.htm[/url] =A0 that according to him used =
an

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#11 Mitglied ist offline   Stern1900 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 19. Februar 04
  • Reputation: 0

geschrieben 08. Juni 2004 - 09:55

Kaspersky meldet es gleich als Virus.

Gibt einem ersteinmal eine trügerische Sicherheit.
0

#12 _Guest_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 10:54

;) war auch mal eben zum Test mitm IE drauf und mein AVK hat nichts gemeldet *Angst bekomm*Cache Leere*
naja die AVK Signaturen sind noch vom 06.juni da kommen erst heut Mittag oder so neue... oder hat dieses Javascript die Ausgabe der Virenwarnung verhindert? hmm... seltsam :angry:
0

#13 _simcard_

  • Gruppe: Gäste

geschrieben 08. Juni 2004 - 10:57

edit, siehe eins weita oben :angry:

Dieser Beitrag wurde von simcard bearbeitet: 09. Juni 2004 - 01:04

0

#14 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 08. Juni 2004 - 16:18

LOL. Was habe ich oben über Cachen im RAM und Cachen auf der Platte erzählt?
Nebenbei, ohne eingeschaltetes ActiveX funktioniert der Teil mit dem ADODB.stream-Exploit nicht...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#15 _simcard_

  • Gruppe: Gäste

geschrieben 09. Juni 2004 - 01:04

achso, naja active x ist wie javascript abgeschalten :D
im übrigen sind da beide beiträge von mir also auch der mit gast, hatte vergessen mich einzuloggen... :unsure:
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0