Internet Explorer lädt und startet beliebige Programme
[-]
Der c't-Browsercheck auf heise Security demonstriert jetzt eine der am Montag gemeldeten Schwachstellen des Internet Explorer. Bei dieser Sicherheitslücke genügt ein voreiliger Klick auf eine URL, um ohne weitere Nachfragen ein beliebiges Programm aus dem Internet herunterzuladen, auf dem Rechner zu installieren und auch gleich auszuführen. Dabei kann es sich genausogut um einen Virus, einen 0190-Dialer oder ein Schadprogramm handeln, das alle erreichbaren Dateien löscht. Wir konnten diesen Vorgang mit Internet Explorer 6.0 und 5.x mit allen am 18.9.2003 verfügbaren Patches reproduzieren.

Ursache des Problems ist die ungenügende Absicherung des Object>-Tags, über das ActiveX-Komponenten aufgerufen werden. Diesem Tag kann man eine Bezugsquelle für das Objekt als URL übergeben und dabei lassen sich die Sicherheitsmechanismen des Internet Explorer umgehen. Ähnliche Probleme mit ActiveX gibt es seit mindestens drei Jahren. Microsoft stellt immer wieder Patches bereit, nach deren Einspielen die aktuellen Exploits nicht mehr funktionieren. Einige Zeit später tauchten jedoch immer wieder neue Variationen auf, die demonstrierten, dass Microsoft die Lücke doch nicht richtig geschlossen hat. Für die aktuelle Variante gibt es derzeit noch keinen Patch von Microsoft.

Link: http://www.heise.de/newsticker/data/ju-18.09.03-001/

MyThinkTank

Sehr nett. Bei mir funktionierts. Das sollte eigentlich auch den letzten überzeugen, den IE nicht weiter zu benutzen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

a) Es lebe Netscape
b) was man mit 'ner PWF nicht so alles lernt..:

- Wenn man mshta.exe blockt, funzt o.g. IE-Exploit in der Form nicht, wie auch die Heise-URL vermuten lässt.

- hta-Files in den OrdnerOptionen auf einen Editor umzubiegen, reicht aber offenbar nicht aus, um das zu verhindern.


--> Wozu braucht OttoNormalo eigentlich hta-Files & Mshta.exe ?

Ich meine auch mal gelesen zu haben, das man o.g. .EXE umbenennen soll: was ginge einem dann an sinnvoller/sinnloser Funktionalität innerhalb/außerhalb des IE verloren ??

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Sehr nett. Bei mir funktionierts. Das sollte eigentlich auch den letzten überzeugen, den IE nicht weiter zu benutzen.</font>[/QUOTE]hab den mal den IE angeschmissen und den test *versucht*. scheiße, klappt nicht so richtig. jetzt muss ich das doch gleich noch mal mit admin rechten probieren ;o)


cheers heiko

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Sehr nett. Bei mir funktionierts. Das sollte eigentlich auch den letzten überzeugen, den IE nicht weiter zu benutzen.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie </font>[/QUOTE]Ich bin seit deinem Test meiner Seite mit Mozi Firebird auf genau diesen Browser umgestiegen. Klein, schnell, sicher(er). Ziemlich fein [img]smile.gif[/img]

Den IE hab ich nur angeworfen um den Exploit von Heise zu testen, dreimal kann man raten was rauskam...

</font><blockquote>Zitat:</font><hr />Original erstellt von LeoDD:
Ich bin seit deinem Test meiner Seite mit Mozi Firebird auf genau diesen Browser umgestiegen. Klein, schnell, sicher(er). Ziemlich fein [img]smile.gif[/img]
</font>[/QUOTE]Super, noch einer, der sich vom Bösen abgewendet hat [img]graemlins/heilig.gif[/img]

Den IE nehm ich nur noch für Windows Update. Und für einige ganz wenige Seiten, die so falsches HTML enthalten, daß die leider nur im kaputten IE angezeigt werden.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Bei mir schreitet übrigens die Heuristik von F-Secure AntiVirus 2003 ein, und meldet:

Bösartiger Code in Datei C:\...\TEMPORARY INTERNET FILES\CONTENT.IE5\2LNK9GFY\CAS16Z45.HTA gefunden.

Nur der Vollständigkeit halber, denn das ändert natürlich nichts an der Anfälligkeit des IE.

Benutze ihn nur noch für solche Tests und für's Windowsupdate, ansonsten Mozilla.

was ist besser? Netscape oder Mozilla?
wo kann man sich den aktuellen mozilla browser runterladen?

Wenn Du kein Netscape-Mail-Konto hast, brauchst Du Netscape imho nicht. Dann nimm lieber Mozilla (aktuelle stabile Version: 1.4)

auf deutsch: http://mozilla.kairo.at

Wenn Du als Mail Client zur Zeit Outlook Express nutzt, würde ich an Deiner Stelle auf Mozilla umsteigen, da ist ein schickes Mail-Programm dabei.

Wenn Du nur einen Browser und keinen Mail-Client brauchst, dann nimm Firebird (aktuell: 0.6.1).

auf deutsch: http://www.firebird-browser.de/

Viel Spaß damit,

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

vielen dank für die schnelle antwort.
nee, outlook benutze ich nicht.

wie ist firebird? das kenne ich noch nicht.
dann werde ich mal gucken gehen. son download dauert nur immer so ewig

Zu Firebird sagt LeoDD in diesem Thread:
</font><blockquote>Zitat:</font><hr />Klein, schnell, sicher(er). Ziemlich fein [img]smile.gif[/img] </font>[/QUOTE]Ich selbst nutze nicht Firebird, sondern das Mozilla-Paket, da ich auch einen vernünftigen Mailclient brauche. In Zukunft werden die Komponenten aber eh aufgespalten; Du machst also mit Firebird nichts verkehrt.

Und das mit dem Download: Da mußt da halt jetzt durch. Bei Firebird gehts doch noch, Mozilla ist ja größer. Allerdings soll irgendwann in der nächsten Zeit (Ende Oktober?) Mozilla 1.5 und Firebird 0.7 rauskommen. Nur mal als Vorwarnung; denn dann kannst Du nochmal downloaden.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

IE Popup meines englischen Windows (im deutschen lautet die Meldung ähnlich):
</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Your current security settings prohibit running ActiveX controls on this page.
As a result, the page may not display correctly.</pre>[/QUOTE]Wo ist das Problem bei deaktiviertem ActiveX?

HAND,
docprantl

Hallo Dr Prantl,
Das Problem ist, dass man ActiveX-Steuerelemente und Plugins nur gleichzeitig abschalten kann.
Gehe ich recht in der Annahme, dass bei dir z.B auch PDF-Dateien nicht angezeigt werden?
Martin

Ja, das ist richtig. PDF-Dateien speichere ich mit Rechtsklick und "Save target as". So jedenfalls kommt die Sicherheitslücke nicht zur Ausführung.

Sorry, wenn die Frage blöd ist, aber wie siehts denn mit Flash aus? Das wird doch dann auch nicht mehr angezeigt, oder? Nicht das das schlimm wäre...

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie