Alle Jahre wieder wird mal eine kritische Sicherheitslücke beim Internet Explorer entdeckt aber die aktuell aufgedeckte kann man als echte Steilvorlage für zukünftige Viren, Würmer und Trojaner bezeichnen.
Diesmal weist wieder mal das Sicherheitszonenmodel des Internet Explorers eine Schwachstelle auf. Die Einstellungen der Sicherheitszonen greifen nicht richtig bei Adressangaben im UNC-Format (Uniform Naming Convention) beispielsweise file://127.0.0.1/C$/verzeichnis/datei . Unter Umständen kann dabei ein Javascript aus der restriktiven Internet Zone auf lokale Dateien eines Windows Systems zugreifen, obwohl dies eigentlich nach dem Zonenmodell verboten ist.
Betroffen sind von dieser Lücke so ziemlich alle aktuellen Versionen des Internet Explorers von Version 5.01 bis 8 auf allen Windowsplattformen von WindowsXP bis Windows 7 von Windows 2000 bis Windows 2008R2 Server. Einzig die Windows XP Home Plattform bleibt von diesem Problem verschont, da es hier keine versteckte administrative Freigabe "C$" des Laufwerks C: gibt.
Microsoft hat dieses gravierende Sicherheitsproblem im Security Bulletin MS10-002 bestätigt und bietet eine ganze Reihe an verschiedensten Emergency Fixes für verschiedenste Windowssysteme und Versionen des IE's an. Es ist auch ein Fix-It-Tool von Microsoft verfügbar, das die Unterstützung für das file-Protokoll (file://) abschaltet. Das behebt zwar zuverlässig sämtliche Sicherheitsprobleme in diesem Bereich, kann aber unter Umständen dazu führen das einige Anwendungen nicht mehr korrekt arbeiten !
Cumulative Security Updates for Internet Explorer 5.01
Internet Explorer 5.01 Service Pack 4 Windows 2000
Internet Explorer 5.01 Service Pack 4 Windows 2000 Server
Cumulative Security Updates for Internet Explorer 6
Internet Explorer 6 for Windows XP
Internet Explorer 6 for Windows XP x64 Edition
Update for Internet Explorer 6 SP1 Windows 2000
Update for Internet Explorer 6 SP1 Windows 2000
Cumulative Security Updates for Internet Explorer 7
Internet Explorer 7 for Windows XP
Internet Explorer 7 for Windows XP x64 Edition
Internet Explorer 7 in Windows Vista
Internet Explorer 7 in Windows Vista x64 Edition
Internet Explorer 7 for Windows Server 2003
Internet Explorer 7 for Windows Server 2003 x64 Edition
Internet Explorer 7 for Windows Server 2003 64-bit Itanium Edition
Internet Explorer 7 in Windows Server 2008
Internet Explorer 7 in Windows Server 2008 x64 Edition
Internet Explorer 7 in Windows Server 2008 for Itanium-based Systems
Cumulative Security Updates for Internet Explorer 8
Internet Explorer 8 for Windows XP
Internet Explorer 8 for Windows XP x64 Edition
Internet Explorer 8 in Windows Vista
Internet Explorer 8 in Windows Vista x64 Edition
Internet Explorer 8 in Windows 7
Internet Explorer 8 in Windows 7 x64 Edition
Internet Explorer 8 for Windows Server 2003
Internet Explorer for Windows Server 2003
Internet Explorer for Windows Server 2003 x64 Edition
Internet Explorer 8 for Windows Server 2003 x64 Edition
Internet Explorer for Windows Server 2003 64-bit Itanium Edition
Internet Explorer 8 in Windows Server 2008
Internet Explorer 8 in Windows Server 2008 x64 Edition
Internet Explorer 8 in Windows Server 2008 R2 x64 Edition
Internet Explorer 8 in Windows Server 2008 R2 for Itanium-based Systems
Links
http://www.microsoft.com/technet/security/bulletin/MS10-002.mspx
Keine Kommentare möglich.