"Sammelpatch" für den Internet Explorer
Microsoft stellt für die kürzlich entdeckte Sicherheitslücke im Internet Explorer 5.5 und 6.0 jetzt einen Patch zum Download bereit. Damit können Unbefugte nun nicht mehr Zugriff auf Cookies erlangen und deren Inhalt manipulieren.
Wie berichtet, konnten Angreifer wegen der Lücke über eine speziell gestaltete URL auf dem PC des Anwenders gespeicherte Cookies auslesen und deren Inhalt verändern.
Normalerweise ist das nur den Websites gestattet, die auch die Cookies gesetzt haben.
Die "Datenkekse" können durchaus sensible Informationen enthalten, was umso brisanter ist, wenn die Daten im Klartext abgelegt werden. Auf diese Weise fallen Hackern beispielsweise User-IDs, Passwörter oder Kreditkartennummern in die Hände. Die Lücke öffnet sich ebenfalls über HTML-formatierte Mails, die der User mit Outlook aufruft.
Sicherheitslücke offenbart Cookie-InfosSammel-Patch
Als Maßnahme empfahl Microsoft, in den Sicherheitseinstellungen des Internet Explorer Active Scripting zu deaktivieren. Mit dem jetzt verfügbaren Patch ist das nicht mehr notwendig.
Laut Microsoft handelt es sich um einen Sammel-Patch, mit dem auch ältere Sicherheitsgefahren der jeweiligen Version beseitigt werden sollen. Nähere Informationen dazu sowie der Link zum Download finden sich im Sicherheitsbulletin MS01-055 .
Der Patch löst zudem das Problem des IE beim Umgang mit punktlosen IP-Adressen, zum Beispiel 111111111 statt 111.111.11.11. In bestimmten Fällen kann es passieren, dass der IE die Seite statt in der vorgesehenen Internet-Zone in der Intranet-Zone öffnet. Und dort gelten in der Regel niedrigere Sicherheitseinstellungen. Der IE 6.0 ist laut Microsoft davon allerdings nicht betroffen.
Sicherheitsbulletin MS01-055