Eine Zero-Day-Lücke beschreibt der Sicherheitsforscher John Page im Internet Explorer, über die Angreifer Dateien stehlen können. Anscheinend will Microsoft keinen Patch dagegen ausliefern und hat den Fall geschlossen. Das Problem könnte dabei selbst Anwender treffen, die den IE selbst gar nicht mehr nutzen.

Seit 1995 ist der Internet Explorer in allen Windows-Versionen enthalten und standardmäßig mit den MHT-Dateien verknüpft, in denen Microsoft früher Web-Seiten archivierte (MIME HTML). Praktisch kommt heute das MHT-Format nicht mehr zum Einsatz. Wie Page erklärt, hätte diese MHT-Datei wegen eines Fehlers bei der Behandlung von XML-Objekten eine beliebige Datei des Windows-Systems stehlen und auf einen externen Server hochladen können.

Nach eigenen Angaben hat Page dieses Problem bei Microsoft gemeldet. Deren Sicherheitsteam antwortete mit einem Hinweis, dass sie einen Fix für eine spätere Version in Betracht ziehen und den Fall damit schließe. Page veröffentlichte daraufhin die Informationen zu dem IE-Sicherheitsproblem beim Umgang mit External XML Entities und dokumentiert den möglichen Angriff in einem Youtube-Video.

Als Dateianhang könnte eine bösartige MHT-Datei einer Mail ankommen oder als Download von einer Web-Seite. Danach müsste der Angreifer sein anvisiertes Opfer dazu bewegen, diese Datei auch tatsächlich zu öffnen.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE