[Warning] Sicherheitslücke in Microsoft Internet Explorer

Robert Waldner waldner at cert.at
Thu Feb 4 09:03:23 CET 2010


4. Februar 2010

   Sicherheitslücke in [1]Microsoft Internet Explorerr

   Information Disclosure - CERT.at ersucht um Beachtung der folgenden
   Meldung.

Beschreibung

   Wie [2]Microsoft berichtet, gibt es eine Lücke in allen aktuellen
   Internet Explorer - Versionen, mittels welcher es einem Angreifer
   möglich ist, Dateien auszulesen, sofern deren Dateinamen bekannt sind -
   was zB bei Konfigurationsdateien regelmässig der Fall sein wird.
   Auch gezieltes Auslesen von etwa den Dateien, in denen gängige Browser
   Passwörter speichern, ist in diesem Szenario denkbar.

Auswirkungen

   Da der Angreifer prinzipiell beliebige Dateien auf betroffenen Systemen
   auslesen kann, sind alle Daten auf diesen Systemen potentiell
   gefährdet.

Betroffene Systeme

   Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und
   benutzt wird.
   Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende
   Versionen betroffen:
     * Internet Explorer ab Version 5.01

Abhilfe

   Microsoft empfiehlt, die Sicherheitseinstellungen in Internet Explorer
   auf "Hoch" zu setzen, damit vor dem Ausführen von ActiveX und Active
   Scripting (JavaScript) beim Benutzer nachgefragt wird, Details siehe
   Microsoft-Meldung.
   Auf Windows Vista und später wird Internet Explorer per Default im
   "Protected Mode" betrieben, was die Auswirkungen dieses Fehlers
   limitieren sollte.
   Für Windows XP - Systeme wird empfohlen, das "Internet Protocol
   Lockdown"-Feature zu aktivieren, Details siehe wiederum
   Microsoft-Meldung.

   Microsoft hat noch nicht bekanntgegeben, ob es für diesen Fehler einen
   "out-of-band"-Patch geben wird, oder ob dieser erst mit dem nächsten
   regulären sog. "Patch Tuesday" behoben werden wird.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung von Microsoft (englisch)
   [2]http://www.microsoft.com/technet/security/advisory/980088.mspx

References

   1. http://www.microsoft.com/
   2. http://www.microsoft.com/technet/security/advisory/980088.mspx


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100204/b5541810/attachment.sig>


More information about the Warning mailing list