"Extremely critical": Internet Explorer offen wie Scheunentor

24. März 2006 um 10:52
  • security
  • microsoft
image

Der Befehl "createTextRange" kann einem böswilligen Angreifer Administratoren-Rechte übertagen.

Der Befehl "createTextRange" kann einem böswilligen Angreifer Administratoren-Rechte übertagen.
Seit gestern Abend warnt Microsoft vor einem sehr gravierender Sicherheitsproblem in Zusammenhang mit dem Internet Explorer. Es geht um den DHTML (Dynamic HTML)-Befehl "createTextRange". Er kann dazu benützt werden, von einer manipulierten Webseite her die Kontrolle über den PC des Besuchers der Seite zu übernehmen. Microsoft schreibt in dem "Security Advisory 917077": An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Sowohl die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes wie auch die unabhängigen Berater von Secunia schätzen den Fehler als sehr gravierend ein. Offensichtlich sind auch schon erste Versuche aufgetaucht, den Fehler auszunützen.
Microsoft arbeitet an einem Patch für den Internet Explorer. Secunia empfiehlt, in den Browser-Einstellung den Support für Active Scripting auszuschalten, MELANI empfiehlt, die generellen Sicherheitseinstellungen in Windows XP auf "hoch" zu stellen, was den gleichen Effekt hat. (hc)

Loading

Mehr erfahren

Mehr zum Thema

image

Podcast: Der grösste Batzen für die schlimmste Lücke

Bei Bug-Bounty-Programmen werden gutgesinnte Hacker für das Aufspüren kritischer Lücken bezahlt. Je kritischer, desto ertragreicher. Wir reden in dieser Episode über Beispiele aus der Praxis und erklären rechtliche Grundlagen.

publiziert am 15.3.2024
image

White-Hat-Hacker finden beim Spital Thun kritische Lücken

Im Rahmen eines Bug-Bounty-Programms haben ethische Hacker beim Spital Sicherheitslücken entdeckt, die auch schon für Ransomware-Angriffe ausgenutzt worden sind.

publiziert am 14.3.2024
image

Nach Cyberangriff läuft bei Varta die Produktion wieder an

Mehrere Werke standen nach einer Cyberattacke still. Ein Monat später kann das deutsche Traditionsunternehmen wieder produzieren und liegengebliebene Aufträge abarbeiten.

publiziert am 14.3.2024
image

Microsofts Copilot wird zum Security-Helferlein

Copilot for Security soll IT-Sicherheitsteams dabei unterstützen, Cyberrisiken frühzeitig zu erkennen. Microsoft macht zudem GPT-4 Turbo gratis für Copilot-Nutzer verfügbar.

publiziert am 14.3.2024