Microsoft schließt das IFrame-Loch
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Microsoft schließt das IFrame-Loch  (Gelesen 1139 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Microsoft schließt das IFrame-Loch
« am: 02. Dezember 2004, 07:51:00 »

Microsoft schließt das IFrame-Loch


Mit einem überraschenden Update beseitigt Microsoft das IFrame-Problem des Internet Explorer. Wie bereits am 2.11. berichtet, konnten speziell präparierte Web-Seiten durch einen Pufferüberlauf beliebigen Code auf anfälligen Windows-Systemen ausführen. Der Fehler tritt bei überlangen Attributen eines IFrame-Tags auf, über das Web-Seiten Inhalte anderer Sites quasi einbetten können.
   

Seit geraumer Zeit kursieren Exploits für die Lücke, die auch als BOFRA bezeichnet wird. Eine nicht sonderlich weit verbreitete Mydoom-Variante nutzte diese Schwachstelle bereits aus und letzte Woche gelang es Angreifern, Anzeigen-Server mit BOFRA-Exploits zu präparieren. Anschließend infizierten viele Anwender ihr System, nur weil sie Web-Sites aufsuchten, die Anzeigen von diesen Servern einbetteten.

Betroffen sind alle Windows-Versionen mit Internet Explorer 6.0 außer Windows XP mit Service Pack 2. Wie Microsoft gegenüber heise Security erklärte, wurden im Rahmen von SP2 Teile des Internet Explorer komplett neu geschrieben. Dabei wurde der Fehler, der den Pufferüberlauf ermöglicht, beseitigt, ohne dass man es bemerkt habe.

Microsoft stuft das Update als kritisch ein. Wer Windows 98, ME oder 2000 nutzt oder bei XP das Service Pack 2 nicht installieren kann, sollte schnellstmöglich den neuen Patch über die Windows-Update-Funktion einspielen, da mit weiteren IFrame-Angriffen über Würmer oder gehackte Web-Seiten zu rechnen ist. Die Redmonder bezeichnen den in MS04-040 genauer beschriebenen Patch als \"Sicherheitsupdate für Dezember\". Ob damit der am 14.12. fällige monatliche Patch-Day hinfällig ist, ließ sich noch nicht in Erfahrung bringen.

Siehe dazu auch:

* Windows-Sicherheitsupdate für Dezember 2004 von Microsoft
* Kumulatives Sicherheitsupdate für Internet Explorer (889293), Microsoft Security Bulletin MS04-040


Quelle: Heise.de / Meldung
Gespeichert