Hilfe
Neues Thema
Antworten
geschrieben Zitat
Das French Security Incident Response Team (FrSIRT) hat einen funktionierenden Exploit für die am Donnerstag gemeldete Schwachstelle des Internet Exporer bei der Behandlung von COM-Objekten veröffentlicht, der Code in ein System einschleust und ausführt. Microsoft konnte das von der Firma SEC Consult gemeldete Problem zunächst nicht nachvollziehen. Als die Österreicher das Problem daraufhin veröffentlichten, gelang dies dann doch noch und Microsoft stellte sogar ein vorläufiges Advisory zu dem Sachverhalt bereit. Die von SEC Consult veröffentlichte Demo brachte den Microsoft-Browser nur zum Absturz, der Exploit des FrSIRT demonstriert nun, dass es über speziell präparierte Object-Tags mit einem Aufruf des COM-Objekts javaprxy.dll tatsächlich möglich ist, dass eine Web-Seite die volle Kontrolle über ein System übernimmt. Anzeige
In Tests von heise Security genügte es, eine mit dem Exploit präparierte Web-Seite zu öffnen, um sich den einfachen Demo-Trojaner einzufangen, der einen Kommandzeilenprompt auf einem TCP-Port zur Verfügung stellt. Der auf dem System installierte Kaspersky-Virenscanner meldete dabei einen IFrame-Buffer-Overflow-Exploit -- wahrscheinlich, weil das FrSIRT einfach den Shellcode aus diesem Exploit wiederverwendet hat. Echte Angreifer würden sich da sicher mehr Mühe geben, verborgen zu bleiben. Die Windows-Firewall meldete sich ebenfalls zu Wort und warnte, dass sie Funktionen des Internet Explorer geblockt hätte und ob der Anwender diese freigeben möchte. Auch diese Warnung wird man bei einem echten Exploit kaum zu Gesicht bekommen.
Es ist zu befürchten, dass sehr bald modifizierte Versionen des Exploit im Internet auftauchen, die dann beispielsweise richtige Trojanische Pferde oder Spyware aus dem Internet nachladen und starten -- ohne Warnungen von Virenscannern oder Personal Firewall. Deshalb sollten sich Anwender bis Microsoft einen Patch bereitstellt, unbedingt selbst schützen. Dazu empfiehlt Microsoft, die Sicherheitseinstellungen des Internet Explorer auf "Hoch" zu setzen. Es genügt jedoch auch, wie im c't-Browsercheck beschrieben, die Ausführung von ActiveX zu deaktivieren. Weitere Schutzmaßnahmen wie das Deaktivieren des COM-Objekts javaprxy.dll beschreibt das Microsoft-Advisory. Wer mit eingschränkten Rechten surft, ist generell einem geringeren Risiko ausgesetzt, da ein Exploit maximal seine Rechte erlangen kann.
Betroffen sind alle Versionen des Internet Explorer, Nutzer anderer Browser müssen sich über die Lücke keine Sorgen machen.
In Tests von heise Security genügte es, eine mit dem Exploit präparierte Web-Seite zu öffnen, um sich den einfachen Demo-Trojaner einzufangen, der einen Kommandzeilenprompt auf einem TCP-Port zur Verfügung stellt. Der auf dem System installierte Kaspersky-Virenscanner meldete dabei einen IFrame-Buffer-Overflow-Exploit -- wahrscheinlich, weil das FrSIRT einfach den Shellcode aus diesem Exploit wiederverwendet hat. Echte Angreifer würden sich da sicher mehr Mühe geben, verborgen zu bleiben. Die Windows-Firewall meldete sich ebenfalls zu Wort und warnte, dass sie Funktionen des Internet Explorer geblockt hätte und ob der Anwender diese freigeben möchte. Auch diese Warnung wird man bei einem echten Exploit kaum zu Gesicht bekommen.
Es ist zu befürchten, dass sehr bald modifizierte Versionen des Exploit im Internet auftauchen, die dann beispielsweise richtige Trojanische Pferde oder Spyware aus dem Internet nachladen und starten -- ohne Warnungen von Virenscannern oder Personal Firewall. Deshalb sollten sich Anwender bis Microsoft einen Patch bereitstellt, unbedingt selbst schützen. Dazu empfiehlt Microsoft, die Sicherheitseinstellungen des Internet Explorer auf "Hoch" zu setzen. Es genügt jedoch auch, wie im c't-Browsercheck beschrieben, die Ausführung von ActiveX zu deaktivieren. Weitere Schutzmaßnahmen wie das Deaktivieren des COM-Objekts javaprxy.dll beschreibt das Microsoft-Advisory. Wer mit eingschränkten Rechten surft, ist generell einem geringeren Risiko ausgesetzt, da ein Exploit maximal seine Rechte erlangen kann.
Betroffen sind alle Versionen des Internet Explorer, Nutzer anderer Browser müssen sich über die Lücke keine Sorgen machen.
Quelle heise online: http://www.heise.de/...r/meldung/61350
Security Advisory von SEC Consult: http://www.sec-consult.com/184.html
Security Advisory von Microsoft: http://www.microsoft.com/technet/security/...ory/903144.mspx
Demo-Exploit des FrSIRT: http://www.frsirt.com/exploits/20050702.ie...yexploit.pl.php
Mein Kommentar: Das ist nicht gut, da besteht dringender Handlungsbedarf. Es darf geflamt werden.
Dieser Beitrag wurde von swissboy bearbeitet: 03. Juli 2005 - 12:32
Nach oben
