Lücke im Internet Explorer ermöglicht vollen Systemzugriff

[Sven]

Zitat:

Zitat von heise.de

Auf der Sicherheits-Mailing-Liste Bugtraq ist ein Exploit für eine bislang unbekannte Sicherheitslücke im Internet Explorer 6.0 veröffentlicht worden, mit der Angreifer den vollen Zugriff auf das System erhalten können. Offenbar provozieren zu lange SRC- und NAME-Attribute innerhalb eines <IFRAME> in HTML-Dokumenten einen Buffer Overflow -- dazu genügt allein das Öffnen eines entsprechend präparierten Dokuments oder der Besuch einer manipulierten Web-Seite. Anzeige


Anders als bei vielen bisherigen Schwachstellen in Microsofts Browser, bei denen Angreifer durch Tricks das Zonenmodell überlisteten, um etwa JavaScript in der lokalen Zone auszuführen, liegt der Fehler nun in der elementaren Verarbeitung von HTML-Code. Auf verwundbaren Systemen überschreibt der Exploit den Stack mit eigenem Code und startet diesen. Bei einem ersten Test des Exploits in der heise-Security-Redaktion öffnete sich der TCP-Port 28876, über den eine Kommando-Shell erreichbar war, die im Kontext des angemeldeten Anwenders lief -- auf vielen Systemen ist dies der Administrator.

Der Exploit funktioniert unter Windows 2000 und Windows XP mit Service Pack 1. Windows XP mit Service Pack 2 ist nicht betroffen. XP-Anwender sollten also schleunigst Service Pack 2 installieren, Anwender von Windows 2000 sollten bis zum Erscheinen eines Patches einen anderen Browser einsetzen. Alternativ hilft auch das Abschalten von ActiveScripting, da der Exploit JavaScript verwendet. Allerdings ist dies kein Garant dafür, dass kommende Malware dann auch nicht mehr ins System eindringen kann.

http://www.heise.de/newsticker/meldung/52844

[Enigma]

http://www.mozilla.org/products/firefox/index.html

damit sollten die meisten Exploits keine Chance haben
(solange der Marktanteil nicht größer wird )

[TeamTanx]

hi,

naja Firefox soll auch einige lücken haben, keine ahnung ob diese mit 1.0RC1 geschlossen wurden, was IE angeht, was hat ein hacker davon, einen pc zu hacken, wenn dort nichts wichtiges drauf ist, ich denke das lohnt sich nur wenn man davon ausgehn kann das dort wichtige sachen gespeichert sind, ich nutze Beide, IE und firefox, wobie ich inzwischne mehr zu Firefox tendiere, er ist irgendwie schneller, vielleicht kommts mir auch nur so vor

M$ brauch einfach zu lange und dann bringen manche fixes nichts, siehe PCwelt test,angeblich wurde laut M$ eine 1 jahr alte lücke geschlossen und sie war immernoch offen, frag mich echt was die bei M$ so machen den tag über...

Firefox wird sicher marktführer es wurden 250.000$ für werbezwecke gesammelt und die verantwortlichen von Mozilla wollen in NY times und in europa eine grosse werbekampagne starten

Naja ich bleib beim Firefox es sei den es wird ne grosse lücke entdeckt was ich aber nicht annehme, vielleicht sollten die verantwortlichen bei M$, mal bissle abkucken bei Mozilla oder den laden gleich kaufen dann haben sie leute die sich damit auskennen ^^

mfg

TanX(TaLLa)

[Naos]

in der aktuellen ct ist auch ein netter bericht bez. ie und firefox drin. sehr interessant und räumt auch die letzten zweifel am fire fox aus

[Merlin]

Zitat:

Zitat von TeamTanx

was hat ein hacker davon, einen pc zu hacken, wenn dort nichts wichtiges drauf ist, ich denke das lohnt sich nur wenn man davon ausgehn kann das dort wichtige sachen gespeichert sind,

"Hacken" bedeutet nicht nur irgendwelche Daten vom fremden PC lesen, sondern auch die Steuerung des PC zu übernehmen. Den PC für eigene oder andere Zwecke einsetzen und in ein Netzwerk einzugliedern. Die PCs des Netzwerks können dann zB. für Spam- oder DoS-Angriffe verwendet werden. Die Besitzer der PCs merken davon nicht viel.

Gegen die o.a. Sicherheitslücke gibt es keinen Schutz M$ muss patchen und die Lücke beseitigen.

Vielleicht lernt KleinWeich für die zukünftigen Entwicklungen, und baut solche Sicherheitslücken nicht mehr ein. Aber solange noch alte Quellen für neuere Programme verwendet werden, wird es die alten Lücken immer noch geben.