Weitere Schwachstellen Im Ie
#1
geschrieben 07. Juni 2004 - 12:02
http://www.heise.de/...r/meldung/47993
Auf der Sicherheitsmailing-Liste Full Disclosure ist ein Security Advisory erschienen, das auf neue Fehler im Internet Explorer 6.0 hinweist, mit der es Angreifern möglich sein soll, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Dem Advisory zufolge werden diese Fehler bereits von einigen Webseiten aktiv ausgenutzt. Dabei reiche der Besuch einer Webseite ohne weitere Benutzerinteraktion aus, um unbemerkt Trojaner und Adware installiert zu bekommen.
Der bereits durch frühere Veröffentlichungen zu Sicherheitslücken in Microsofts Browser bekannte Sicherheitsspezialist Jelmer analysiert in seinem Advisory detailliert die Funktion des neuen Angriffs, der aus einer Kombination mehrerer alter und mindestens zwei bisher unbekannter Lücken im Internet Explorer 6.0 besteht. Der mehrstufige Exploit lädt unter anderem besonders codiertes JavaScript auf das System, um die Arbeitsweise zu verschleiern und Virenscanner auszutricksen. Außerdem setzt er diverse Tricks ein, um den eigentlich zur Internet-Zone gehörenden Code in der lokalen Zone -- die standardmäßig fast keine Sicherheitseinschränkungen kennt -- auszuführen.
Jelmer hat in seiner Analyse zwar auf zwei harmlose Demonstrationen der Schwachstellen verlinkt, die bei einem voll gepatchten Internet Explorer 6.0 SP1 funktionieren sollen. Bei ersten Tests in der heise-Security-Redaktion versagten sie allerdings, was aber auch an den unterschiedlichen Programmpfaden englischer Windows-Versionen liegen kann. Sofern sich die Funktion des Exploits bestätigt, wird er in den c't-Browsercheck aufgenommen.
Anzeige
#2 _titan_aus_kiel_
geschrieben 07. Juni 2004 - 12:06
#3
geschrieben 07. Juni 2004 - 21:43
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#4 _simcard_
geschrieben 08. Juni 2004 - 00:03
Zitat
Dieser Exploit markiert eine neue Generation von Sicherheitsproblemen im Internet Explorer. Die bisher bekannt gewordenen Sicherheitslöcher des Microsoft Browsers wurden zunächst auf Sicherheits-Mailinglisten wie Full Disclosure diskutiert. Angreifer modifizierten erst später die harmlosen Demos, um sie für ihre Zwecke zu missbrauchen und Dialer oder Trojaner zu installieren. Diesmal wurden Sicherheitsexperten erst durch eine bösartige Seite auf das Problem aufmerksam und entwickelten daraus eine Demonstration. Erste Hinweise auf ein solches, bisher unbekanntes Sicherheitsloch gab es bereits Mitte Mai; es wurde also bereits seit etwa einem Monat aktiv ausgenutzt. Die von Jelmer analysierte, bösartige Web-Seite codierte den enthaltenen JavaScript-Code sogar, um Alarmmeldungen von Antiviren-Software zu verhindern.
Offensichtlich suchen Virenbastler mittlerweile selbst aktiv nach neuen Sicherheitslöchern im Internet Explorer. Wer Active Scripting für die Internet-Zone eingeschaltet hat, muss künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren. Anders als prominent platzierte Defacements bleiben solch minimale Änderungen oft längere Zeit unbemerkt. Tipps wie Sie Ihren Browser sicher konfigurieren können, gibt der c't-Browsercheck und der Artikel "Verrammelt, Internet Explorer sicher konfigurieren" in c't 13/04, die am 14.6.04 am Kiosk erscheint.
http://www.heise.de/...s/meldung/47993
G-Data scheint darauf
Zitat
Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:06
#5 _simcard_
geschrieben 08. Juni 2004 - 00:08
Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:08
#6
geschrieben 08. Juni 2004 - 00:20
Mal ganz davon abgesehen daß der IE wie jeder andere Browser auch im RAM cachet und daher der Exploit nicht notwendigerweise vor seiner Ausführung auf der Platte landet, wo er vom Geladen-Werden abgehalten werden könnte.
BTW, Heise stellt sich echt zu dämlich an, der Exploit funktioniert einwandfrei...
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 00:20
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7 _simcard_
geschrieben 08. Juni 2004 - 00:22
b) wieso stellen die sich bei heise.de dumm an? test hat doch geklappt
c) Wie finden solche "Sicherheitsexperten" denn diese Exploits? Untersuchen die von jeder Webseite den Quelltext oder wie?
d) warum kann man den Hoster der Seiten net zwingen diese zu closen?
fragen fragen fragen
Dieser Beitrag wurde von simcard bearbeitet: 08. Juni 2004 - 00:23
#8
geschrieben 08. Juni 2004 - 00:28
b) Nein, bei ihnen klappte der Test nicht, weil sie sich zu dumm anstellen, die Pfade für den ADODB.stream-Exploitteil korrekt anzupassen. Und weil sie in ihrem Browser-Check 13 bekannte ungepatchte Sicherheitslücken ignorieren.
c) Steht doch da - dieser Exploit wurde auf einer zwielichtigen Seite entdeckt. Sonst findet man solche nur per Zufall (z.B. die CSS NullPointer Exceptions), durch systematische Suche (Ressource Exhaustion durch ? bzw. # - OBJECT-Referenzen) oder durch Variantion von alten, meist halbherzig gepatchten Lücken (Local Zone Injection).
d) Kann man.
Dieser Beitrag wurde von Rika bearbeitet: 08. Juni 2004 - 00:29
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#9 _simcard_
geschrieben 08. Juni 2004 - 00:31
Zitat
... und in die eigene Webseite einbauen bzw. eine hacken und dort einschleusen, ziemlich fahrlässig solche Exploits zum Download anzubieten
Zitat
-->
Zitat
heisst doch das sie es testen konnten und rausfanden dass er geht Reicht doch aus...
Zitat
axo
Zitat
na dann sollte man mal was tun... weisst du zufällig auf welcher Seite dieser Exploit gefunden wurde bzw. (falls Link posten verboten ist) weisst du ob die Seite noch existiert?
#10
geschrieben 08. Juni 2004 - 09:31
2. Die haben die Meldung verändert. Vorher stand dort, daß sie den Exploit noch nicht nachvollziehen konnten, weil sie die Datei-Pfade nicht anpassen konnten.
3. Steht ebenfalls auf der Seite.
Zitat
an
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#11
geschrieben 08. Juni 2004 - 09:55
Gibt einem ersteinmal eine trügerische Sicherheit.
#12 _Guest_
geschrieben 08. Juni 2004 - 10:54
naja die AVK Signaturen sind noch vom 06.juni da kommen erst heut Mittag oder so neue... oder hat dieses Javascript die Ausgabe der Virenwarnung verhindert? hmm... seltsam
#13 _simcard_
geschrieben 08. Juni 2004 - 10:57
Dieser Beitrag wurde von simcard bearbeitet: 09. Juni 2004 - 01:04
#14
geschrieben 08. Juni 2004 - 16:18
Nebenbei, ohne eingeschaltetes ActiveX funktioniert der Teil mit dem ADODB.stream-Exploit nicht...
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#15 _simcard_
geschrieben 09. Juni 2004 - 01:04
im übrigen sind da beide beiträge von mir also auch der mit gast, hatte vergessen mich einzuloggen...