Ein bereits seit Juni bekannter Fehler des Internet Explorer lässt sich ausnutzen, um beliebigen Code auf dem System eines Anwenders auszuführen. Dieser muss dazu lediglich eine Web-Seite aufsuchen, die speziellen JavaScript-Code enthält.

Wie Benjamin Tobias Franz entdeckte und der c't-Browsercheck bereits seit einiger Zeit demonstriert, stürzt der Internet Explorer ab, wenn nach dem Laden einer Seite über den onload-Event-Handler die JavaScript-Funktion window() aufgerufen wird. Jetzt hat Stuart Pearson demonstriert, dass sich auf diesem Weg auch Code einschleusen und zur Ausführung bringen lässt. In Tests von heise Security startete sein Proof-of-Concept-Exploit auf einem System mit Windows XP, Service Pack 2 und allen aktuellen Patches den Windows Taschenrechner bevor der Internet Explorer abstürzte. Laut Pearson ist jedoch auch Windows 2000 betroffen.

Derartige Exploits werden erfahrungsgemäß bald nach ihrem Bekanntwerden ausgenutzt, um beispielsweise Spyware auf den Systemen von IE-Anwendern zu installieren. Derzeit existiert noch kein Patch von Microsoft. Um sich zu schützen, kann man im Internet Explorer Active Scripting abschalten oder einen alternativen Browser einsetzen.

QUELLE

Zitat:

Original von deoroller Ich würde eher sagen, dass man nach dem Abschalten von Active Scripting einen alternativen Browser einsetzen muss, da der IE dann nur noch eingeschränkt Internetfähig ist.

LOL, haste mal das Mozilla-Gefrickel mit dem Proof of Concept getestet?
http://www.computerterrorism.com/research/ie/ct21-11-2005

Zitat:

Update: Mittlerweile hat Microsoft mit einem Advisory auf das Problem reagiert. Demnach sind ab Windows 98 und Internet Explorer 5 alle Windows-Versionen betroffen. Bis zur Herausgabe eines Patches empfiehlt Microsoft, Active Scripting abzuschalten oder zumindest nur auf Nachfrage zuzulassen.

QUELLE

Für die vor kurzem nachträglich als äußerst kritisch eingestufte Sicherheitslücke im Internet Explorer ist nach Angaben von Microsoft bereits der erste Schädling öffentlich aufgetaucht. Der Win32/Delf.DH genannte Trojaner infiziert einen PC bereits beim Besuch einer manipulierten Webseite. Betroffen sind alle Versionen von Windows. Einzig Windows Server 2003 mit und ohne Service Pack 1 sind immun, sofern die Enhanced Security Configuration aktiviert ist.

Brisant an der Lücke ist, dass Microsoft immer noch keinen Patch zum Schließen zur Verfügung stellt. Der Fehler ist zwar seit längerem bekannt, allerdings ging man bis vor kurzem davon aus, dass er nur zum Absturz des Browsers führt und nicht für das Einschleusen von Schadcode geeignet sei. Ob die Redmonder zum kommenden Patchday am 13.12. ein Update herausgeben oder bereits vorher mit einem Emergency Release reagieren, ist noch nicht bekannt.

Dass ein Rechner bereits infiziert ist, erkennt der Anwender daran, dass im Autostartordner die Datei KVG.exe oder keks.exe liegt. Die lädt alle fünf Minuten weitere Trojaner aus dem Internet nach und installiert sie im Windows-Verzeichnis als all.exe. Nach Angaben von Microsoft ist der Trojaner derzeit nur wenig verbreitet.

Um sich Delf.DH gar nicht erst einzufangen, empfiehlt Microsoft Active Scripting in der Internet Zone und der lokalen Zone zu deaktivieren. In die Irre führen die weiteren Tipps der Redmonder. So empfehlen sie, die Firewall zu aktivieren und Updates einzuspielen. Allerdings schützt die XP-Firewall überhaupt nicht vor solchen Angriffen. Zudem gibt es derzeit kein Update, das die Lücke stopft.

QUELLE

Ich weiß, ich soll nicht immer so viel lästern, aber habt ihr die Werbung
oberhalb des Berichts gesehen?