Thema: Microsoft schließt das IFrame-Loch

[SiLæncer]

Mit einem überraschenden Update beseitigt Microsoft das IFrame-Problem des Internet Explorer. Wie bereits am 2.11. berichtet, konnten speziell präparierte Web-Seiten durch einen Pufferüberlauf beliebigen Code auf anfälligen Windows-Systemen ausführen. Der Fehler tritt bei überlangen Attributen eines IFrame-Tags auf, über das Web-Seiten Inhalte anderer Sites quasi einbetten können.

Seit geraumer Zeit kursieren Exploits für die Lücke, die auch als BOFRA bezeichnet wird. Eine nicht sonderlich weit verbreitete Mydoom-Variante nutzte diese Schwachstelle bereits aus und letzte Woche gelang es Angreifern, Anzeigen-Server mit BOFRA-Exploits zu präparieren. Anschließend infizierten viele Anwender ihr System, nur weil sie Web-Sites aufsuchten, die Anzeigen von diesen Servern einbetteten.

Betroffen sind alle Windows-Versionen mit Internet Explorer 6.0 außer Windows XP mit Service Pack 2. Wie Microsoft gegenüber heise Security erklärte, wurden im Rahmen von SP2 Teile des Internet Explorer komplett neu geschrieben. Dabei wurde der Fehler, der den Pufferüberlauf ermöglicht, beseitigt, ohne dass man es bemerkt habe.

Microsoft stuft das Update als kritisch ein. Wer Windows 98, ME oder 2000 nutzt oder bei XP das Service Pack 2 nicht installieren kann, sollte schnellstmöglich den neuen Patch über die Windows-Update-Funktion einspielen, da mit weiteren IFrame-Angriffen über Würmer oder gehackte Web-Seiten zu rechnen ist. Die Redmonder bezeichnen den in MS04-040 genauer beschriebenen Patch als "Sicherheitsupdate für Dezember". Ob damit der am 14.12. fällige monatliche Patch-Day hinfällig ist, ließ sich noch nicht in Erfahrung bringen.

Quelle : www.heise.de

[SiLæncer]

Es mehren sich die Berichte, nach denen sich Microsofts IFrame-Patch nicht richtig installiert und die Demo-Exploits auch nach der scheinbar korrekten Installation in manchen Fällen noch funktionieren. So berichtet beispielsweise der Diensthabende im Internet Storm Center, dass nach der Installation via Windows-Update die Versionen der DLLs nicht mit denen übereinstimmten, die in Microsofts Security Bulletin angegeben sind. Erst nach dem Herunterladen und der manuellen Installation des Patches habe er die richtigen Versionen auf seinem System vorgefunden. Heise Security konnte diese Berichte bislang allerdings nicht nachvollziehen.

Wer auf Nummer sicher gehen will, dass der Patch richtig installiert ist und die IFrame-Lücke des Internet Explorer tatsächlich geschlossen ist, sollte die Versionsnummern der neu installierten DLLs überprüfen. Sie finden sich im Security Bulletin MS04-040 unter "Informationen zum Sicherheitsupdate" im Unterpunkt "Dateiinformationen". Direkt darunter ist auch beschrieben, wie man die Versionsnummern vergleicht. Links zum manuellen Download der Patches finden sich weiter oben unter "Betroffene Komponenten". Wer Windows XP Service Pack 2 installiert hat, kann sich diesen Schritt sparen -- es enthält bereits neue Versionen der Bibliotheken, die den Fehler nicht aufweisen.

Microsoft hat den IFrame-Patch etwa vier Wochen nach Bekanntwerden des Sicherheitsproblems als außerplanmäßiges Update herausgegeben. Vermutlich haben sich die Redmonder durch die massiven Einbrüche in Web-Server der letzten Wochen genötigt gesehen, vom normalen Release-Fahrplan abzuweichen und das kritische Update vorzuziehen, um Nutzer des Internet Explorer vor den öffentlich verfügbaren Exploits zu schützen.

Quelle : www.heise.de