micha42 29 Geschrieben 22. November 2005 Melden Teilen Geschrieben 22. November 2005 im Newsletter von https://www.dfn-cert.de/ (sehr zu empfehlen) steht heute folgendes: Liebe Kolleginnen und Kollegen, soeben erreichte uns nachfolgende Warnung. Wir geben diese Informationen unveraendert an Sie weiter. Im Internet Explorer existiert eine Schwachstelle, die die fehlerhafte Initialisierung der Methode window() im Zusammenhang mit <BODY onload> Events betrifft. Durch den 'onload' Event Handler wird beliebiger JavaScript Code ausgefuehrt, wenn die HTML-Seite vollstaendig in das Fenster oder alle Frames des Fensters geladen wurde (Load Event). Durch die Window() JavaScript Methode kann das aktuelle Fenster beeinflusst werden (zum Beispiel kann der Inhalt erneut geladen werden). Die Schwachstelle ist zwar bereits seit Juni 2005 bekannt; allerdings wurde zum Zeitpunkt der Veroeffentlichung vermutet, dass die Schwachstelle nur fuer Denial of Service Angriffe auf den Internet Explorer ausgenutzt werden kann. Ein entfernter Angreifer kann diese Schwachstelle durch entsprechend konstruierten JavaScript Code ausnutzen, um beliebige Befehle mit den Rechten des Internet Explorer Benutzers auszufuehren. Voraussetzung ist, dass der Benutzer die HTML-Seite oder die E-Mail des Angreifers oeffnet und dass der enthaltene JavaScript Code ausgefuehrt wird. Ein Exploit zum Ausnutzen der Schwachstelle ist bereits veroeffentlich worden. Zur Zeit ist noch kein Patch vorhanden. Als Workaround kann JavaScript deaktiviert werden. Weitere Informationen zu der Schwachstelle finden Sie unter der URL: http://secunia.com/advisories/15546/ Betroffen sind die folgenden Software Pakete und Plattformen: Microsoft Internet Explorer 5.5 Microsoft Internet Explorer 6.x Microsoft Windows 2000 Microsoft Windows XP SP1 und SP2 © der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken gestattet. Mit freundlichen Gruessen, Jan Kohlrausch, DFN-CERT Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 24. November 2005 Autor Melden Teilen Geschrieben 24. November 2005 nu gibt s auch n Exploit Zitat: Eine Gruppe namens Computer Terrorism hat ein Proof-of-Concept für eine hoch kritische Lücke im Internet Explorer veröffentlicht. Die Schwachstelle ist Microsoft bereits seit Mai bekannt, ein Patch wurde allerdings noch nicht veröffentlicht. Microsoft kennt die Sicherheitslücke laut diesem Advisory(http://www.microsoft.com/technet/security/advisory/911302.mspx) bereits seit Mai. Bislang wurde allerdings angenommen, dass Angreifer den Browser nur abstürzen lassen können. Derzeit gibt es noch keinen Patch, der die hoch kritische Schwachstelle beseitigt. Als Workaround sollten Sie JavaScript im Internet Explorer deaktivieren oder auf einen alternativen Browser umsteigen. aus:http://www.tecchannel.de/news/themen/sicherheit/433199/index.html und wer s Englisch und genauer mag: http://www.frsirt.com/english/advisories/2005/2509 Michael Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.