Die hier archivierte Mail kann, muss sich aber nicht auf den Themenkomplex von Oekonux beziehen.
Insbesondere kann nicht geschlossen werden, dass die hier geäußerten Inhalte etwas mit dem Projekt Oekonux oder irgendeiner TeilnehmerIn zu tun haben.
Message 00144 | [Homepage] | [Navigation] | |
---|---|---|---|
Thread: choxT00144 Message: 1/1 L0 | [In date index] | [In thread index] | |
[First in Thread] | [Last in Thread] | [Date Next] | [Date Prev] |
[Next in Thread] | [Prev in Thread] | [Next Thread] | [Prev Thread] |
Wieder Schwachstelle im Internet Explorer Eine vom Sicherheitsdienstleister GreyMagic neu gemeldete Schwachstelle ermöglicht es einem Angreifer, beliebige Skripte an den Internet Explorer zu übermitteln, die von arglosen Benutzern ausgeführt werden können. Zum Anzeigen von bestimmten Fehlern, beispielsweise ein nicht antwortender Webserver, benutzt der IE eigene HTML-Seiten: "Die Seite kann nicht angezeigt werden". Je nach aufgetretenem Fehler wird auch die angegebene URL im Dokument referenziert. Der Fehler liegt nun in der Behandlung der URL: In der URL versteckter Skriptcode wird nicht ausgefiltert, sondern an den Explorer direkt übergeben. Manipuliert ein Angreifer nun URLs in einem HTML-Dokument, so kann er beliebigen Code darin verstecken. Da die Fehlerseite eine lokale Seite ist, wird demzufolge auch das Skript dem Sicherheitskontext der lokalen Zone zugeordnet. Ein ähnlicher Fehler im Internet Explorer trat bereits bei der Darstellung von FTP-Seiten auf. Betroffen sind die Versionen 5.5 und 6.0 des Internet Explorers. Microsoft kündigte bereits an, man werde einen Patch für den Fehler herausgeben. Folgender Test dient zum Testen der Schwachstelle auf dem eigenen System, dazu die URL kopieren und in die Adresszeile des Browsers einfügen: res://shdoclc.dll/HTTP_501.htm#javascript:%2f*://*%2falert(location.href)/ Dieser Link produziert eine Fehlerseite. Beim Anklicken des darin enthaltenen roten Links wird ein Skript ausgeführt, das ein Popup-Window öffnet. (dab/c't) http://www.heise.de/newsticker/data/dab-18.06.03-001/ _______________________ http://www.oekonux.de/
[English translation] | |||
Thread: choxT00144 Message: 1/1 L0 | [In date index] | [In thread index] | |
---|---|---|---|
Message 00144 | [Homepage] | [Navigation] |