[Warning] Sicherheitslücke in Microsoft Internet Explorer
Robert Waldner
waldner at cert.at
Thu Feb 4 09:03:23 CET 2010
4. Februar 2010
Sicherheitslücke in [1]Microsoft Internet Explorerr
Information Disclosure - CERT.at ersucht um Beachtung der folgenden
Meldung.
Beschreibung
Wie [2]Microsoft berichtet, gibt es eine Lücke in allen aktuellen
Internet Explorer - Versionen, mittels welcher es einem Angreifer
möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind -
was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser
Passwörter speichern, ist in diesem Szenario denkbar.
Auswirkungen
Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen
auslesen kann, sind alle Daten auf diesen Systemen potentiell
gefährdet.
Betroffene Systeme
Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und
benutzt wird.
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende
Versionen betroffen:
* Internet Explorer ab Version 5.01
Abhilfe
Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer
auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active
Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe
Microsoft-Meldung.
Auf Windows Vista und später wird Internet Explorer per Default im
"Protected Mode" betrieben, was die Auswirkungen dieses Fehlers
limitieren sollte.
Für Windows XP - Systeme wird empfohlen, das "Internet Protocol
Lockdown"-Feature zu aktivieren, Details siehe wiederum
Microsoft-Meldung.
Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen
"out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten
regulären sog. "Patch Tuesday" behoben werden wird.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von Microsoft (englisch)
[2]http://www.microsoft.com/technet/security/advisory/980088.mspx
References
1. http://www.microsoft.com/
2. http://www.microsoft.com/technet/security/advisory/980088.mspx
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100204/b5541810/attachment.sig>
More information about the Warning
mailing list