[Sydney]

Secunia Advisories berichtet über eine neue Sicherheitslücke im IE6 und der IE7 Beta 2

Secunia Research has discovered a vulnerability in Microsoft Internet Explorer, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to an error in the processing of the "createTextRange()" method call applied on a radio button control. This can be exploited by e.g. a malicious web site to corrupt memory in a way, which allows the program flow to be redirected to the heap.

Successful exploitation allows execution of arbitrary code.

The vulnerability has been confirmed on a fully patched system with Internet Explorer 6.0 and Microsoft Windows XP SP2. The vulnerability has also been confirmed in Internet Explorer 7 Beta 2 Preview. Other versions may also be affected.

Weitere Informationen http://secunia.com/advisories/18680/

[Sydney]

Nun hat Heise auch einen Arikel veröffentlicht!

Weitere kritische, ungepatchte Lücke im Internet Explorer

Der Sicherheitsdienstleister Secunia hat eine weitere, bislang ungepatchte kritische Sicherheitslücke im Internet Explorer 6 gemeldet. Laut Fehlerbericht liegt das Problem in der JavaScript-Funktion createTextRange() im Zusammenhang mit so genannten Radio-Buttons. Durch einen speziellen Funktionsaufruf lassen sich laut Secunia Teile des Speichers mit eigenem Code vollschreiben und starten. Dazu genügt bereits der Besuch einer manipulierten Webseite. Weitere Angaben macht Secunia nicht.

Kompletten Artikel fndet Ihr über http://www.heise.de/...s/meldung/71165.

Dieser Beitrag wurde von Sydney bearbeitet: 23. März 2006 - 11:40

[Sydney]

New publicly disclosed vulnerability in Internet Explorer
Wie MS im Blog mitteilt, sind Benutzer der aktuellen IE7 Beta Build 5335 nicht von dieser Sicherheitslücke betroffen.

Danke für den Hinweis!

Dieser Beitrag wurde von Sydney bearbeitet: 23. März 2006 - 13:08

[Großer]

Komisch, das diese News nie von Swissboy kommen...
Wahrscheinlich bekommt durch die ganzen Lücken des IE der Schweizer Käse echte Konkurrenz.

[Kritikus]

Ich bezweifle, dass es sich bei swissboy tatsächlich um einen Schweizer handelt. Der interessiert sich viel zu sehr für Themen aus Deutschland. Auch finde ich keinen Beitrag von ihm in der Schwizer Eggä. Vielleicht wäre er bei dem "Kauderwelsch" aufgeflogen.

Harte Zeiten für Microsoft, bzw. IE Benutzer. Tun mir richtig leid. Die wievielte Lücke durch ActiveScripting ist das eigentlich insgesamt?

[Rika]

Ungepatcht oder ingesamt? Bei ersterem die 27ste, insgesamt so eher die 200ste.

Aber ganz ehrlich, das hier ist nur ein zufälliger Programmfehler. So etwas kann jedem passieren und spricht nicht gegen die generelle Codequalität des IE. Und sollte er Microsoft auch tatsächlich fixen...

[swissboy]

Microsoft Security Advisory (917077)
Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution

Microsoft hat soeben ein Microsoft Security Advisory zu dieser Sicherheitslücke veröffentlicht und sie damit auch offiziell bestätigt. Als Workaround wird vorgeschlagen Active Scripting vorübergehend auszuschalten oder so einzustellen das eine Ausführung bestätigt werden muss.

Microsoft Security Advisory 917077 (Englisch)
Microsoft Security Advisory 917077 (Deutsch)

Dieser Beitrag wurde von swissboy bearbeitet: 28. März 2006 - 10:19

[Kritikus]

F sagte:

Microsoft bestätigt die neuesten Berichte über eine (scheinbar) neue Verwundbarkeit des Internet Explorers. Die im Microsoft Security Advisory 917077 beschriebene Sicherheitslücke ermöglicht die Ausführung von beliebigem Code. Dies, laut Microsoft, allerdings "nur" im Kontext des angemeldeten Benutzers. Sind Sie also mit administrativen Rechten an Windows angemeldet, kann z. B. eine manipulierte Webseite, welche Sie mit dem Internet Explorer besuchen, beliebige Programme zur Ausführung bringen (es ist nicht mehr Ihr PC!). Ein installierter Virenscanner kann Ihnen in diesem Fall nicht helfen, weil Sie u. U. auf ein völlig neues, dem Scanner unbekanntes, Schadprogramm stoßen. Microsoft meint, Angreifer hätten keine Möglichkeit, die Lücke auszunutzen, müssten sie doch betroffene Systeme erst mal auf eine entsprechend manipulierte Seite locken. Erfahrungsgemäß gelingt dies jedoch recht einfach. Man stelle sich Werbeslogans der SEX-Seiten oder aus den Adressbüchern verschickte e-mails vor!

Wie immer zeigt sich, falls Microsoft in diesem Fall mit der Kontextbindung richtig liegt, die selbst für Privatnutzer wichtige Trennung der Benutzer(rechte), ist wichtig!

[swissboy]

@Kritikus: Quellenangabe?

Dieser Beitrag wurde von swissboy bearbeitet: 24. März 2006 - 11:18

[Rika]

Zitat

Sind Sie also mit administrativen Rechten an Windows angemeldet, kann z. B. eine manipulierte Webseite, welche Sie mit dem Internet Explorer besuchen, beliebige Programme zur Ausführung bringen (es ist nicht mehr Ihr PC!).

Auch mit Nicht-Admin-Rechten kann man alles anstellen, was der Benutzer anstellen kann. Das geht dann bis zu einem einfachen Usermode-Rootkit (siehe hierzu auch die Diskussion um Stealth vs. Non-Stealth auf der Blackhat Europe), das dann einfach wartet, bis der Benutzer irgendwann mal das Admin-Passwort eintippt - und das war's dann.

Zitat

Man stelle sich Werbeslogans der SEX-Seiten oder aus den Adressbüchern verschickte e-mails vor!

Oder ganz einfach eine bezahlte Werbeeinblendung.

[swissboy]

Webseiten infizieren Windows-PCs über Lücke im Internet Explorer

Microsoft weist in einem Update seiner Warnung zur jüngst entdeckten Lücke (createTextRange) im Internet Explorer darauf hin, dass bereits erste Webseiten über dieses Leck versuchen, PCs der Besucher mit Schadcode zu infizieren. Websense, Hersteller von Sicherheitssoftware, betätigt dies in einer eigenen Meldung, will aber bis Sonntag bereits 200 Seiten gezählt haben. Mittlerweile dürfte die Zahl weiter gestiegen sein. Auch geknackte Server sollen sich unter den Virenschleudern befinden.
...
Sofern sich kein Anstieg der Zahl infizierter Webseiten abzeichne, wolle man das Update zum geplanten Patchday am 11. April herausgeben.

Den kompletten heise online Artikel gibt es hier.

[sparkle]

Zitat (swissboy: 27.03.2006, 10:59)

Sofern sich kein Anstieg der Zahl infizierter Webseiten abzeichne, wolle man das Update zum geplanten Patchday am 11. April herausgeben.

Die lernen es nie! Jetzt ist es schon so weit gekommen dass der Fehler auf sehr vielen Seiten ausgenutzt wird und Microsoft schläft weiter selig anstatt jetzt so viel Schadensbegrenzung wie möglich zu betreiben

[swissboy]

Zitat (sparkle: 27.03.2006, 11:34)

Die lernen es nie! Jetzt ist es schon so weit gekommen dass der Fehler auf sehr vielen Seiten ausgenutzt wird und Microsoft schläft weiter selig anstatt jetzt so viel Schadensbegrenzung wie möglich zu betreiben

Wenn ein womöglich fehlerhaftes (weil ungenügend ausgestestes) Update in den Umlauf gelangen würde, wäre der Schaden wohl um ein vielfaches grösser. Das ist eine Risikoabwägung. Wenn die Bedrohung durch diese aktuelle Sicherheitslücke weiter zunehmen sollte, ist es durchaus möglich das das Update trotzdem schon vor dem 11. April veröffentlicht wird (siehe Vorgehen bei der WMV-Sicherheitslücke), er ist ja im Prinzip bereits fertig.

Dieser Beitrag wurde von swissboy bearbeitet: 27. März 2006 - 11:46

[swissboy]

Nach den IE-Exploits: Microsoft überdenkt Sicherheits-Strategie

Es lässt Microsoft keineswegs kalt, dass Hacker eine neu aufgedeckte Schwachstelle im IE derzeit massiv ausnutzen und viele Nutzer frustriert sind, weil ein Lösung für das Problem noch zwei Wochen auf sich warten lassen könnte. Der Softwaregigant grübelt bereits über seiner Sicherheits-Strategie: Sollte man die Bereitstellung von Sicherheitspatches forcieren? Updates eventuell weniger ausgiebig testen? Und was für Folgen hätten derartige Maßnahmen?

Den kompletten PC-Welt Artikel gibt es hier.


Inzwischen gibt es dazu auch eine News auf der Frontseite.

Dieser Beitrag wurde von swissboy bearbeitet: 29. März 2006 - 13:49

[nim]

wozu schreib ick den mift noch auf die frontseite... ach stimmt ja, ich habs ja "vergessen", weil die kommt ja satte anderthalb stunden nach idg...

Dieser Beitrag wurde von nim bearbeitet: 29. März 2006 - 13:08