[informatik-bonn] heise online: Surfen mit IE kann Festplatte formatieren (Update)

  • From: Philipp Kirchner <mail@xxxxxxxxxxxxxxxxxx>
  • To: informatik-bonn@xxxxxxxxxxxxx
  • Date: Tue, 12 Nov 2002 18:37:25 +0100

Diese Meldung aus dem heise online-Newsticker wurde Ihnen
von "Philipp Kirchner <mail@xxxxxxxxxxxxxxxxxx>" gesandt.
Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert
ist. Sollten Sie Zweifel an der Authentizität des Absenders haben,
ignorieren Sie diese E-Mail bitte.
--------------------------------------------------------------------
Windows ....
--------------------------------------------------------------------
Surfen mit IE kann Festplatte formatieren (Update)



 Eine besonders tückische Kombination von Sicherheitslücken im Internet
Explorer ermöglicht es Webseiten, auf fremden Rechnern Programme mit
Parametern aufzurufen -- mittlerweile existiert ein Exploit, das die
Festplatte formatiert.      

 Das Problem besteht aus mehreren Sicherheitslücken, die alleine genommen
nicht weiter kritisch sind, aber im Zusammenspiel gefährliche Angriffe
ermöglichen. In einem Advsiory[1] beschreibt Andreas Sandblad, wie die
Sicherheitslücken ausgenutzt werden können, um beliebige Kommandos mit
Parameterübergabe zu starten. Sandblads Exploit nutzt dabei ein
cross-site-scripting-Loch in der Windowshilfe (*.chm) aus. Seine
Demonstration öffnet eine Kommandozeile und übergibt dort eine
Echo-Ausgabe. Mit wenig Aufwand lässt sich das Exploit aber mit weitaus
zerstörerischeren Befehlen ("deltree", "format") füttern.

 Laut Sandblad ist der Internet Explorer 6 mit aktuellen Patches anfällig
für diese Lücke. In einem internen Testlauf stellten wir fest, dass das
Exploit auf einem Windows XP mit IE 6.0 erst lauffähig war, nachdem wir
alle aktuellen Sicherheitspatches von windowsupdate.com eingespielt hatten
-- auf einem anderen System mit ungepatchten IE 6.0 funktionierte es auf
Anhieb. Nach unseren Tests ist auch der Internet Explorer 5.5 von dem
Problem betroffen.

 Ob Ihr Internet Explorer anfällig für das veröffentlichte Exploit ist,
können Sie mit unserem Browsercheck[2] überprüfen. Doch auch wenn dieser
Test nicht funktioniert, gibt es wahrscheinlich andere Möglichkeiten,
dieses Sicherheitsproblem auszunutzen. Microsoft wurde bereits am 4.
Oktober informiert, aber bislang gibt es noch keinen Patch. Abstellen lässt
sich das Problem momentan nur durch das Abschalten von "Active Scripting".
Eine Anleitung dazu finden Sie ebenfalls auf dem c't browsercheck[3].
(pab[4]/c't)

URL dieses Artikels:
 http://www.heise.de/newsticker/data/pab-12.11.02-000/

Links in diesem Artikel:
 [1] http://online.securityfocus.com/archive/1/298748/2002-11-02/2002-11-08/2
 [2] http://www.heise.de/ct/browsercheck/demos.shtml
 [3] http://www.heise.de/ct/browsercheck
 [4] mailto:pab@xxxxxxxxxxx

--------------------------------------------------------------------
Copyright 2002 by Verlag Heinz Heise

Other related posts:

  • » [informatik-bonn] heise online: Surfen mit IE kann Festplatte formatieren (Update)