11.10.2001

EXPLORER

Microsoft stopft Löcher im IE

Microsoft stopft drei Sicherheitslücken im Internet Explorer mit einem einzigen Patch. Sicherheitsbewusste User sollten ihn daher aufspielen, obwohl die Lücken weniger gravierend sind als frühere.

Die erste betrifft den Umgang des Internet Explorer mit IP-Adressen ohne Punkte, zum Beispiel "111111111" statt "111.111.11.11." In bestimmten Fällen könne es sein, dass der IE die Seite statt in der vorgesehen Internet-Zone in der Intranet-Zone öffne.

Und dort gelten in der Regel niedrigere Sicherheitseinstellungen. Betroffen davon sind die Browser der Version 5. Der IE 6 lässt sich nicht überrumpeln.

Wie gewohnt ist zu beachten, dass Microsoft frühere Browser-Versionen nicht mehr auf Lücken testet. Die beiden anderen Probleme treten bei allen getesteten IE-Versionen ab 5.01 auf.

Microsoft-Patches

Üble Adressen

Die zweite Lücke betrifft den Umgang mit HTTP-Anfragen. Laut Microsoft ist es möglich, einen URL zu schaffen, in dem verschiedene Anfragen enthalten sind. Der Internet Explorer schickt die Requests so ab, als wären sie vom Benutzer selbst eingegeben worden.

Das kann zum einen dazu führen, dass der User ungewollt auf einer in diesem URL spezifizierten Site landet und dort weitere Seiten geöffnet werden. Im schlimmeren Fall, beispielsweise wenn der Benutzer ein Internet-Mail-Konto oder andere Internet-Services gebucht hat, könnten im URL Anfragen versteckt sein, die Befehle ausführen.

Allerdings ist dieser Fall eher unwahrscheinlich, da der Angreifer viele Details wissen müsste. Beim Internet-Mail-Account etwa den Servernamen und die Namen der Ordner des Mail-Accounts. Ein Versuch mit den Standarddaten großer Internet-Mail-Provider ist dennoch denkbar.

Nachbessern

Das dritte Problem betrifft die Telnet-Utillties für Unix, die Windows NT 4 und Windows 2000 mitbringen.

Die Lücke glaubte Microsoft bereits mit Security Bulletin MS01-15 erledigt. Sie tritt nur auf, wenn die Telnet Services für Unix 12.0 installiert sind, was nicht standardmäßig der Fall ist. Ein Angreifer kann die Lücke jedoch nutzen, um über den Internet Explorer Programme auf dem Rechner zu installieren.

Um die Lücke zu schließen, müssen sowohl der frühere Patch als auch der jetzt veröffentlichte aufgespielt werden.