Microsoft stopft Löcher im Internet Explorer 11.10.2001 09:27:10
Microsoft stopft drei Sicherheitslücken im Internet Explorer mit einem einzigen Patch. Sicherheitsbewusste User sollten ihn aufspielen, obwohl die Lücken weniger gravierend sind als frühere.
Die erste betrifft den Umgang des Internet Explorer mit IP-Adressen ohne Punkte, zum Beispiel 111111111 statt 111.111.11.11. In bestimmten Fällen könne es sein, dass der IE die Seite statt in der vorgesehenen Internet-Zone in der Intranet-Zone öffnet. Und dort gelten in der Regel niedrigere Sicherheitseinstellungen. Betroffen davon sind die Microsoft Browser der Version 5. Der IE 6 lässt sich nicht überrumpeln. Wie gewohnt ist zu beachten, dass Microsoft frühere Browser-Versionen nicht mehr auf Lücken testet. Die beiden anderen Probleme treten bei allen getesteten IE-Versionen ab 5.01 auf.
Die zweite Lücke betrifft den Umgang mit HTTP-Anfragen. Laut Microsoft ist es möglich, eine URL zu basteln, in der verschiedene Anfragen enthalten sind. Der Internet Explorer schickt die Requests so ab, als wären sie vom Benutzer selbst eingegeben worden. Dass kann zum einen dazu führen, dass der User ungewollt auf einer in dieser URL spezifizierten Webseite landet und dort weitere Seiten geöffnet werden. Im schlimmeren Fall, beispielsweise wenn der Benutzer ein Internet-Mailkonto oder andere Internet-Services gebucht hat, könnten in der URL Anfragen versteckt sein, die Befehle ausführen. Allerdings ist dieser Fall eher unwahrscheinlich, da der Angreifer viele Details wissen müsste. Beim Internet-Mailaccount etwa den Servernamen, und die Namen der Ordner des Mailaccounts. Dennoch ist ein Versuch mit den Standard-Daten großer Internet-Mailprovider denkbar.
Das dritte Problem betrifft die Telnet-Utillties für Unix, die Windows NT 4 und Windows 2000 mitbringen. Die Lücke glaubte Microsoft bereits mit Security Bulletin MS01-15 erledigt. Sie tritt nur auf, wenn die Telnet-Services für Unix 12.0 installiert sind, was nicht standardmäßig der Fall ist. Ein Angreifer kann die Lücke jedoch nutzen, um über den Internet Explorer Programme auf dem Rechner zu installieren. Um die Lücke zu schließen, müssen sowohl der frühere Patch als auch der jetzt veröffentlichte aufgespielt werden. Links zu den Patches und das zugehörige Bulletin MS 01-51 finden Sie hier. Weitere Informationen bietet der Internet Explorer Bug-Report. (uba)
Mehr unter :
Explorer Bugs !