Der von Microsoft vor zwei Wochen offerierte kumulative Internet Explorer-Patch funktioniert nicht zum Stopfen des "Object-Data-Tag"-Sicherheitslochs. Wie zum Beispiel der schwedische Sicherheitsexperte Secunia berichtet, können Angreifer nach wie vor bei den Explorer-Versionen 5.01, 5.5, 6.0 und 6.0 für Windows Server 2003 beliebigen Code mittels präparierten HTML-E-Mails oder Websites ausführen. Microsoft kennt das las kritisch eingestufte Problem sehr genau: Der fehlerhafte Patch stellt den zweiten Versuch dar, das Loch zu stopfen. Ein weiterer Patch aus dem Hause Redmond ist zu erwarten. Auf den Sicherheitsseiten des Tecchannel wird ein Exploit ausführlich beschrieben, der das mögliche Vorgehen eines Angreifers zeigt. Wie so oft wird Administratoren als Ausweg empfohlen, "Active Scripting" im Internet Explorer zu deaktivieren (Extras/Internetoptionen/Sicherheit/Stufe anpassen/Active Scripting deaktivieren"). (wl)
09.09.2003
Der von Microsoft vor zwei Wochen offerierte kumulative Internet Explorer-Patch funktioniert nicht zum Stopfen des "Object-Data-Tag"-Sicherheitslochs. Wie zum Beispiel der schwedische Sicherheitsexperte Secunia berichtet, können Angreifer nach wie vor bei den Explorer-Versionen 5.01, 5.5, 6.0 und 6.0 für Windows Server 2003 beliebigen Code mittels präparierten HTML-E-Mails oder Websites ausführen. Microsoft kennt das las kritisch eingestufte Problem sehr genau: Der fehlerhafte Patch stellt den zweiten Versuch dar, das Loch zu stopfen. Ein weiterer Patch aus dem Hause Redmond ist zu erwarten. Auf den Sicherheitsseiten des Tecchannel wird ein Exploit ausführlich beschrieben, der das mögliche Vorgehen eines Angreifers zeigt. Wie so oft wird Administratoren als Ausweg empfohlen, "Active Scripting" im Internet Explorer zu deaktivieren (Extras/Internetoptionen/Sicherheit/Stufe anpassen/Active Scripting deaktivieren"). (wl)