Deutsch | English

Sicherheitslücke in Microsoft Internet Explorer

4. Februar 2010

Sicherheitslücke in Microsoft Internet Explorerr

Information Disclosure - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Microsoft berichtet, gibt es eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher es einem Angreifer möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind - was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser Passwörter speichern, ist in diesem Szenario denkbar.

Auswirkungen

Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen auslesen kann, sind alle Daten auf diesen Systemen potentiell gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:
  • Internet Explorer ab Version 5.01

Abhilfe

Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe Microsoft-Meldung.
Auf Windows Vista und später wird Internet Explorer per Default im "Protected Mode" betrieben, was die Auswirkungen dieses Fehlers limitieren sollte.
Für Windows XP - Systeme wird empfohlen, das "Internet Protocol Lockdown"-Feature zu aktivieren, Details siehe wiederum Microsoft-Meldung.

Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/980088.mspx
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:07
Haftungsausschluss