Aus der Lücke bei der Verarbeitung verschachtelter HTML-Objekte durch den Internet Explorer ist mittlerweile ein Riesenloch geworden. War Anfang der Woche noch unklar, ob sich über den Fehler möglicherweise Code einschleusen lässt, verkündet der Sicherheitsdienstleister Secunia pünktlich zum Wochenende, dass er einen Exploit für die Lücke entwickelt habe, der genau das demonstriere. Ein Angreifer könne damit das komplette System unter seine Kontrolle bringen. Dazu genügt der Aufruf einer präparierten Webseite.Secunia hat Microsoft den Exploit nach eigenen Angaben am 26. April zur Verfügung gestellt und seine Einschätzung des Fehlers auf die Stufe "Highly Critical" gehoben. Öffentlich machen will Secunia den Exploit allerdings nicht, was aber nicht ausschließt, dass in den nächsten Tagen ein Proof-of-Concept-Code aus einer anderen Quelle erscheint. Einen Workaround gibt es nicht, auch das oftmals hilfreiche Abschalten von ActiveScripting bringt hier keine Besserung. Im Zweifel sollten Anwender auf einen anderen Browser ausweichen. In der aktuellsten Version 1.5.0.2 von Firefox steckt allerdings auch eine ungepatchte Lücke, die sich ebenfalls zum Einschleusen von Code ausnutzen lässt. Zwar soll dies nach Angaben der Entwickler sehr schwierig sein, aber diese Annahme kann sich auch dort als falsch erweisen. Vom norwegischen Webbrowser Opera sind zumindest derzeit keine ungepatchten Sicherheitslücken bekannt.
Darüber hinaus ist ein weiterer Fehler im Internet Explorer bekannt geworden. Durch eine so genannte Race Condition beim Anzeigen der Dialoge zur Installation oder Ausführung von ActiveX-Controls kann ein Opfer aus Versehen ein unerwünschtes Control starten. In der Folge hätte der Angreifer darüber Zugriff auf den PC. Ein Exploit dafür ist bereits veröffentlicht, auf Windows XP SP2 und Windows Server 2003 SP1 funktioniert er allerdings nicht. Für Anwender älterer Windows-Versionen wie 98, ME und 2000 sollte dies einmal mehr Anlass sein, auf die neueren Versionen zu wechseln und die verfügbaren Service Packs einzuspielen.
- MSIE Nested Object Vulnerability Is Exploitable, Warnung von Secunia
- PoC for Internet Explorer Modal Dialog Issue, Fehlerbericht von Matthew Murphy
Quelle: http://www.heise.de/newsticker/meldung/72497
