Internet Explorer leckt weiterhin

19.11.2004
Secunia, Anbieter von Sicherheits-Software, warnt vor zwei Lecks im Internet Explorer 6.0 unter Windows XP SP2. Beide Lecks erlauben das Umgehen von Sicherheitseinstellungen beziehungsweise Spoofing-Angriffe.Abhilfe verschafft vorerst nur, die Unterstützung für die Option "Hide extension for known file types" zu deaktivieren.

Secunia, Anbieter von Sicherheits-Software, warnt vor zwei Lecks im Internet Explorer 6.0 unter Windows XP SP2. Beide Lecks erlauben das Umgehen von Sicherheitseinstellungen beziehungsweise Spoofing-Angriffe.Abhilfe verschafft vorerst nur, die Unterstützung für die Option "Hide extension for known file types" zu deaktivieren.

Unsere Kollegen vom Tecchannel schreiben: "Ein Problem steckt in der Sicherheitseinstellung in XP SP2, die Nutzer beim Datei-Download vor dem öffnen bestimmter Dateitypen warnt. Wird die heruntergeladene Datei mit einem speziell erstellten "Content-Location"-HTTP-Header gesendet, wird diese Sicherheitsmeldung unterdrückt. Ein weiterer Fehler taucht auf, wenn Dokumente über die Javascript-Funktion "exec-Command()" gesichert werden.

Ist die Option "Hide extension for known file types" akti-viert, so ermöglicht die Lücke, die Dateierweiterung über den "Save HTML Document"-Dialog zu spoofen. Ein Angreifer könnte beide Lücken im Kombination ausnützen, um über eine präparierte Website ausführbare Dateien, die als HTML-Dateien getarnt sind, auf lokale Systeme zu überspielen. Weitere Details finden Sie in unserem Security-Report." (wl)

Zur Startseite