fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
"D-Day" - Sicherheitslücke IE |
|
Folgender Artikel ist bei chip.de erschienen:
Die israelische Software-Firma GreyMagic entdeckte durch Zufall eine gravierende Sicherheitslücke im Internet Explorer Version 5.5 und 6. Über Frame-HTML-Elemente lassen sich Privilegien von vertrauenswürdigen Seiten auch auf dubiosen Seiten nutzen.
Als vertrauenswürdig wird zum Beispiel vom Internet Explorer der eigene Rechner eingestuft. So lassen sich etwa in einem Teil der Website der eigene Arbeitsplatz öffnen, die Rechte übernehmen und Dateien auslesen oder Trojaner platzieren.
IE durch Großschreibung ausgetrickst
Die von GreyMagic "D-Day" getaufte Lücke nutzt eigentlich einen bereits behobenen Fehler aus. Jedoch schien den Programmierern die Möglichkeit, Groß- und Kleinschreibung zu nutzen, nicht in den Sinn gekommen zu sein. So werden Javascript Befehle wie "oElement.document" ordungungsgemäß geblockt, "oElement.Document" hingegen funktioniert trotzdem.
Obwohl die Sicherheitslücke jetzt erst veröffentlicht wurde, enthält das Service Pack 1 für den Internet Explorer 6 bereits den passenden Bugfix. Auch Versionen vor 5.5 bleiben verschont. Benutzer der Version 5.5 können derzeit nur Abhilfe schaffen, indem sie »Active Scripting« Deaktivieren.
Info: sec.greymagic.com/adv/gm011-ie/
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
16.10.2002 08:16 |
|
|
Mr.Stevens
BlackBoarder
Dabei seit: 10.01.2002
Beiträge: 873
Herkunft: Lower Oak Creek
|
|
nun, meine Reaktion auf dieses Thema ist ebenso wenig ein retorischer Höhenflug wie geistig wertvoll, aber ...
wer IE 6.0 und/oder WinXp und/oder Outlook2000 (ohne vernünftigen Mail/Virenscanner) einsetzt ist einfach selber schuld. Da gibts auch keine Entschuldigung, denn wer nicht umsteigen will, ist nicht zu "dumm", sondern einfach zu faul !!!!
Nehmen wir mal ein anderes Beispiel:
Einem Autohersteller werden immer wieder Fehler in der Produktion nachgewiesen. Die Fahrzeuge sind erfahrungsgemäss anfällig für Störungen der Elektrik usw.
WÜRDE SICH EINER HIER SO EINE KARRE KAUFEN, AUCH WENN SIE LEICHT ZU BEDIENEN WÄRE (aber trotzdem sauteuer) ????
__________________ Jede lumpige Grippewelle erreicht doch heutzutage
mehr Leute als der Humor von Karl Valentin.
|
|
16.10.2002 10:46 |
|
|
|
|
|