Thema: Weitere kritische, ungepatchte Lücke im Internet Explorer

[SiLæncer]

Der Sicherheitsdienstleister Secunia hat eine weitere, bislang ungepatchte kritische Sicherheitslücke im Internet Explorer 6 gemeldet. Laut Fehlerbericht liegt das Problem in der JavaScript-Funktion createTextRange() im Zusammenhang mit so genannten Radio-Buttons. Durch einen speziellen Funktionsaufruf lassen sich laut Secunia Teile des Speichers mit eigenem Code vollschreiben und starten. Dazu genügt bereits der Besuch einer manipulierten Webseite. Weitere Angaben macht Secunia nicht.

Microsoft soll über das Problem informiert sein und an einem Patch arbeiten. Laut Fehleranalyse ist nicht nur der Internet Explorer 6 auf einem vollständig gepatchten Windows XP mit Service-Pack 2 verwundbar, sondern auch der Internet Explorer 7 Beta 2. Als Workaround hilft derzeit wohl nur, JavaScript zu deaktivieren. Exploits kursieren für die Lücke zwar noch nicht, und Secunia hält seinen Proof-of-Concept-Code noch zurück, es ist aber damit zu rechnen, dass sehr bald irgendwo eine Demo veröffentlicht wird.

Erst Anfang der Woche wurde eine ungepatchte Lücke im Internet Explorer bekannt, die der Niederländer Jeffrey van der Stad gefunden hat. Sie soll es ermöglichen, beim Besuch einer Web-Seite hta-Dateien mit den Rechten des Anwenders auszuführen. Auch dafür arbeiten die Redmonder bereits an einem Update.

Update
Microsoft weist in seinem Security-Blog darauf hin, dass der Internet Explorer 7 Beta 2 Preview in der allerneuesten Fassung nicht verwundbar ist. Secunia hat sein Advisory daraufhin ergänzt und schreibt, dass der Fehler in der Version (IE7 Beta2) vom Januar gefunden wurde. Build-Nummern zu besseren Unterscheidung geben jedoch beide nicht an. Zudem bestätigt Microsoft, dass das Abschalten von ActiveScripting das Problem kurzfristig behebt.

Siehe dazu auch:

    * Microsoft Internet Explorer "createTextRange()" Code Execution, Fehlerreport von Secunia


Quelle und Links : http://www.heise.de/security/news/meldung/71165

[SiLæncer]

Für die kürzlich gemeldete createTextRange()-Lücke sind erste Exploits aufgetaucht, die Internet-Explorer-Nutzern Schadcode unterschieben. Microsoft hat inzwischen mit einer Sicherheitsmeldung reagiert, in der auch Workarounds vorgestellt werden.

In der Meldung erläutert das Unternehmen, dass über die Lücke Code eingeschleust werden kann, der mit den Rechten des Benutzers ausgeführt wird. Als Workaround schlagen die Redmonder vor, Active Scripting zu deaktivieren oder den Browser zumindest vor der Ausführung Warnmeldungen ausgeben zu lassen, indem die Sicherheitsstufe für die Zonen Lokal und Internet auf Hoch gesetzt wird. Weiterhin kündigen die Sicherheitsexperten ein Update für die Schwachstelle an.

Der jetzt aufgetauchte Proof-of-Concept-Exploit demonstriert die Lücke, indem er beim Aufruf der Webseite den Windows-Taschenrechner aufruft. Dabei stürzt der Internet Explorer ohne weitere Meldung ab, nachdem das JavaScript einige Zeit sämtlichen Speicher vollschreibt und damit den Rechner lahm legt. Delikat: In das JavaScript-Gerüst lässt sich ohne große Vorkenntnisse Schad- oder Shellcode nachrüsten.

Neben dieser kritischen Sicherheitslücke sind derzeit noch zwei weitere Schwachstellen im Internet Explorer offen, ohne dass Workarounds hierfür bekannt wären. Die von dem Niederländer Jeffrey van der Stad entdeckte hta-Lücke erlaubt es Angreifern, in diesen HTML-Anwendungen eingebetteten Code mit den Rechten des Benutzers auszuführen. Bei der von Michael Zalewski entdeckten Lücke beim Verarbeiten von mehr als 63 Script-Action-Handlern wie onClick in einem HTML-Tag gehen die Meinungen über die Tragweite derweil auseinander. Der Sicherheitsdienstleister Secunia stuft die Schwachstelle nur als Denial-of-Service ein, während Zalewski glaubt, dass über sie eingeschmuggelter Code zur Ausführung kommen könnte.

Da für die Sicherheitslücken noch keine Patches zur Verfügung stehen, sollte der Internet Explorer nur auf vertrauenswürdigen Seiten wie etwa dem Intranet-Portal in der Firma genutzt werden. Für das weltweite Netz scheinen die Alternativbrowser wie Opera oder Firefox zurzeit die sicherere Wahl zu sein.

Siehe dazu auch:

    * Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
    * Proof-of-Concept-Exploit, auf Milw0rm
    * Weitere kritische, ungepatchte Lücke im Internet Explorer [Update], Meldung der createTextRange()-Lücke von heise Security
    * Neue Lücke im Internet Explorer, Meldung der hta-Lücke von heise Security
    * Neue ungepatchte Sicherheitslücke im Internet Explorer, Meldung der Script-Action-Handler-Lücke von heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/71232

[SiLæncer]

eEye , Hersteller von Sicherheitssoftware und Sicherheitsdienstleister, hat einen inoffiziellen Patch zum Schließen der aktuellen Lücke in der JavaScript-Funktion createTextRange() des Internet Explorer herausgegeben. Mehr als 200 Seiten sollen laut Websense bereits versuchen, PCs von Besuchern mit Trojanern und Spyware zu infizieren.

eEye empfiehlt nur solchen Anwendern den Patch zu installieren, denen das Abschalten von Active Scripting aus bestimmten Gründen nicht möglich ist. In Tests von heise Security funktionierte der Demo-Exploit nach der Installation des Patches mit dem Internet Explorer 6 und XP SP1 nicht mehr, ebenso schien der Internet Explorer 7 unter XP SP2 immun gegen den Angriff. Allerdings war das System nach einem Angriff dennoch nur noch schwer bedienbar, da der Exploit den Speicher vollschreibt.

Laut Marc Maiffret, Chief Hacking Officer von eEye, habe der Patch auch nur experimentellen Charakter, der aber bis zum Patchday von Microsoft temporären Schutz bieten könne. Sobald das offizielle Update der Redmonder erschienen ist, sollte man den Patch wieder deinstallieren. Der Patch ist kostenlos, ohne Registrierung von eEye zu beziehen und darüber hinaus auch als Quellcode verfügbar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Patch von Microsoft weiterhin erst für den 11. April erwartet

Außer von dem Sicherheitsunternehmen eEye erhalten Nutzer des Internet Explorer auch von Determina Hilfe, um das bislang von Microsoft nicht geschlossene Sicherheitsleck im Browser zu schließen. Auch der Patch von Determina soll Angriffe verhindern und wird ausdrücklich als Übergangslösung bezeichnet.

Der nun von Determina bereitgestellte Sicherheits-Patch für den Internet Explorer ersetzt keinerlei Dateien auf der Festplatte. Stattdessen wird eine modifizierte dll-Datei in den Speicher geladen, die fortan statt der Original-dll verwendet wird. Damit sollen die durch den JavaScript-Befehl createTextRange() möglichen Angriffe verhindert werden. Auch das IT-Sicherheitsunternehmen eEye bietet einen inoffiziellen Patch für den Internet Explorer an.

Nach wie vor plant Microsoft, den fälligen Sicherheits-Patch für den Internet Explorer am kommenden Patch-Day, dem 11. April 2006, zu veröffentlichen. Die Sicherheitslücke steckt im Internet Explorer ab der Version 5.01; lediglich die aktuelle Vorabversion vom Internet Explorer 7 weist den Fehler nicht auf.

Das für IT-Sicherheitsfragen zuständige SANS Institute sieht keine Notwendigkeit, eine der inoffiziellen Patches einzuspielen. Als wirksamer Schutz wird die Abschaltung von Active Scripting im Internet Explorer oder die Verwendung eines anderen Browsers empfohlen. Damit seien Anwender in der Lage, sich ausreichend gegen mögliche Angriffe zu schützen. Derzeit sei die reale Gefahr durch die Sicherheitslücke im Internet Explorer allerdings nicht sehr hoch, meint das SANS Institute.

Vor weniger als einer Woche wurde eine Sicherheitslücke im Internet Explorer bekannt, über die Angreifer beliebigen Programmcode auf fremde Systeme schleusen können. Kurze Zeit später wurde bereits Schadcode im Internet entdeckt, der sich das Sicherheitsleck in dem JavaScript-Befehl createTextRange() zu Nutze macht. Nur einige Tage später warnte Microsoft davor, dass zahlreiche Webseiten ausfindig gemacht wurden, auf denen sich Schadcode eingenistet hat.

Eine mit dem aktuellen Fall vergleichbare Situation gab es bereits Anfang 2006, als ein Sicherheitsexperte einen Patch zur Beseitigung der WMF-Sicherheitslücke in Windows bereitgestellt hatte. Dieser inoffizielle Patch erschien eine knappe Woche, bevor Microsoft außerhalb des regulären Patch-Days einen Sicherheits-Patch veröffentlicht hat. Damals konnte bereits die Anzeige von WMF-Bildern genügen, um Opfer einer Attacke zu werden.

Quelle und Links : http://www.golem.de/0603/44326.html

[SiLæncer]

Übergangsfrist für Internet Explorer endet im Juni 2006

Der für den 11. April 2006 geplante Sicherheits-Patch für den Internet Explorer wird nicht nur mehrere Sicherheitslücken schließen, sondern auch Änderungen an ActiveX vornehmen, wie Microsoft erklärte. Allerdings wird es ein Kompatibilitäts-Update geben, um die ActiveX-Modifikation wieder rückgängig zu machen, womit vor allem Unternehmen eine Übergangsphase bis Juni 2006 gewährt wird.

Im März 2006 hatte Microsoft bereits ein Update für den Internet Explorer veröffentlicht, das die notwendigen Änderungen durch das Eolas-Patent umsetzt. Dieser Patch wird allerdings bislang nur separat angeboten, so dass Nutzer diesen bei Bedarf umgehen können. Dieser Zustand wird nun am Patch-Day im April 2006 enden, wenn die Modifikationen an ActiveX erstmals in einem sicherheitsrelevanten Update für den Internet Explorer enthalten sein werden, heißt es von Microsoft.

Da sich durch die Änderungen an ActiveX das Verhalten des Browsers wandelt und es möglicherweise einige Inkompatibiliäten mit Webseiten geben kann, entschied sich Microsoft, die Umsetzungen des Eolas-Patentes erst im Juni 2006 verpflichtend zu machen. Bis dahin wird es von Microsoft ein so genanntes Kompatibilitäts-Update geben, um die Modifikationen am Internet Explorer wieder rückgängig zu machen.

Die ActiveX-Änderungen im Internet Explorer führen dazu, dass die Ausführung von ActiveX-Controls erst vom Anwender bestätigt werden muss, sofern diese über "APPLET", "EMBED" oder "OBJECT" geladen werden. Diese Modifikationen beschreibt Microsoft in einem White-Paper, worin sich weitere Hinweise finden, worauf Nutzer und Entwickler von Webapplikationen künftig achten müssen.

Bislang ist bereits bekannt, dass der für den 11. April 2006 geplante Sicherheits-Patch für den Internet Explorer zumindest die Sicherheitslücke schließen wird, für die bereits zwei inoffizielle Patches erschienen sind. Wie Microsoft mitteilte, wird der kommende Internet-Explorer-Patch gleich mehrere Sicherheitslöcher stopfen. Unklar ist derzeit aber noch, ob damit die anderen beiden im März 2006 bekannt gewordenen Sicherheitslecks gemeint sind oder ob andere Fehler im Internet Explorer beseitigt werden sollen.

Quelle : www.golem.de

[SiLæncer]

Nach Eolas-Ansicht sollte Microsoft eine Patentlizenz kaufen

Die geplante Änderung am Internet Explorer bei der Verarbeitung einiger ActiveX-Controls hat die Kritik von Eolas hervorgerufen. Auf Grund eines von Eolas gehaltenen Patents ändert Microsoft seinen Browser so, dass dieser einige ActiveX-Controls künftig erst nach einer Nutzerbestätigung ausführt. Nach Auffassung von Eolas sei diese Beschränkung nicht notwendig, wenn Microsoft für eine entsprechende Lizenz bezahlen würde.

Eolas bezeichnet es als "Enttäuschung" und "Schande", dass Microsoft die Bedienbarkeit des Internet Explorer einschränkt, indem Änderungen an ActiveX vorgenommen werden, berichtet das IT-Magazin eWeek.com. Eolas ruft Microsoft dazu auf, eine Patentlizenz zu erwerben anstatt die Bedienbarkeit des Browsers zu beschneiden.

Eolas reagiert damit auf die Bekanntgabe Microsofts, den für den 11. April 2006 geplanten Sicherheits-Patch für den Internet Explorer auch mit Änderungen an ActiveX zu versehen. Da sich durch die Änderungen an ActiveX das Verhalten des Browsers wandelt und es möglicherweise einige Inkompatibiliäten mit Webseiten geben kann, entschied sich Microsoft, die Umsetzungen des Eolas-Patentes erst im Juni 2006 verpflichtend zu machen. Bis dahin wird es ein so genanntes Kompatibilitäts-Update geben, um die Modifikationen am Internet Explorer wieder rückgängig zu machen.

Die ActiveX-Änderungen im Internet Explorer führen dazu, dass die Ausführung von ActiveX-Controls erst vom Anwender bestätigt werden muss, sofern diese über "APPLET", "EMBED" oder "OBJECT" geladen werden. Diese Modifikationen beschreibt Microsoft in einem White-Paper, worin sich weitere Hinweise finden, worauf Nutzer und Entwickler von Webapplikationen künftig achten müssen.

Im März 2006 hatte Microsoft bereits ein Update für den Internet Explorer veröffentlicht, das die notwendigen Änderungen durch das Eolas-Patent umsetzt. Dieser Patch wird allerdings bislang nur separat angeboten, so dass Nutzer diesen bei Bedarf umgehen können.

Quelle : www.golem.de

[Jürgen]

Notwendige Benutzer-Bestätigungen bei ActiveX sind dem "bin'sch schon d'rin"-Surfer vielleicht lästig, besonders bei rein Trieb-gesteuertem Handeln, insofern wäre diese Beschränkung möglicherweise ein (marginaler) Sicherheits-Gewinn  

Seiten, die mit dieser Änderung nicht kompatibel sind, sind's auch nicht mit den Internet-Standards, die bekanntermassen nicht von M$ oder Eolas (allein) bestimmt werden