Wichtiger Sicherheitspatch für den IE verfügbar!
von mesios für WinFuture.de
Wie heute Nachmittag schon angekündigt hat Microsoft nun den lang erwarteten Sicherheits Patch für den Internet Explorer veröffentlicht. Es werden einige teils sehr kritische Fehler beseitigt (mehr dazu weiter unten). Der Patch ist für alle Versionen, ab 5.01, des IEs verfügbar. Die installation wird dringend empfohlen!
Hier nun eine Auflistung der behobenen Fehler sowie eine kurze Beschreibung:
Durch einen Fehler im sogenannten cross-domain security model (Webinhaltszonen) ist es möglich, dass eine manipulierte HTML Seite (oder HTML E-Mail) auf Informationen anderer Internetseiten (zB cookies) zugreifen kann. Es ist auch möglich, dass Dateien von dem heimischen Rechner ausgelesen und automatisch verschickt werden sowie das Ausführen von Quellcode im Kontext des angemeldeten Benutzers.
Durch einen weiteren Fehler ist es möglich, dass beliebige Dateien allein durch Anklicken eines Links auf der Festplatte gespeichert werden - OHNE das der Benutzer gefragt wird bzw. eine Rückmeldung erhällt. Solch an Link kann natürlich auch in einer E-Mail enthalten sein! Die Datei (bzw. der Code) wird zu diesem Zeitpunk nicht ausgeführt sondern nur abgespeichert.
Über den dritten Fehler haben wir schon einige Male berichtet, es ist wohl auch der kritischte und bekanntest Bug der letzten Zeit: Durch einen Fehler in der URL Verarbeitung des Internet Explorer besteht die Möglichkeit das Internetseiten aufgerufen werden, die eine gefälschte Adresse besitzen. Das heißt, dass es nicht unbedingt gegeben sein muss, dass wenn zB WinFuture.de in der Adresseleiste steht, dass man sich auch wirklich auf dieser Seite befindet. Im Falle solch eines manipulierten Links hat der Benutzer sogut wie keine Möglichkeit herrauszufinden auf welcher Website er sich wirklich befindet, da auch im Eigenschaftsmenü die gefälschte Adresse eingetragen ist.
Durch das Fixen dieses Bugs fällt allerdings auch eine recht nützliche Funktion weg: Mit dem einspielen dieses Patches ist es nicht mehr möglich Authentifizierungsinformationen direkt in der URL zu übergeben (also zB http(s)://username
assword@server/ ).
Dieser Patch wird für alle Systeme als kritisch eingestuft - nur unter Windows 2003 trägt er lediglich die Bezeichnung Important (Wichtig) da dieses System einige weiterentwickelte Sicherheitsmechanismen besitzt. Weitere Informationen entnehmen Sie bitte dem TechNet Eintrag bei Microsoft (Link unten).
Download
Kumulatives Sicherheitsupdate für Internet Explorer 6 Service Pack 1
Kumulatives Sicherheitsupdate für andere Versionen
Weitere Informationen
Microsoft Security Bulletin MS04-004
http://winfuture.de/news,13105.html
Download: http://winfuture.de/downloadvorschalt,836.html
