News Exploit für Sicherheitslücke im Internet Explorer

[Steffen]

Für die als „höchst kritisch“ eingestufte Sicherheitslücke im Internet Explorer, über die wir gestern berichteten (Erneut Sicherheitslücke im Internet Explorer), ist nun Beispiel-Code zu deren Ausnutzung aufgetaucht. Durch den Besuch einer Website mit dem Internet Explorer können Angreifer die Kontrolle über das System erlangen.

Zur News: Exploit für Sicherheitslücke im Internet Explorer

 

[triumvirn]

ist ja eigentlich nix neues. aber ist es eigentlich so schwierig Sicherheitslücken zu finden oder besser gar keine zu programmieren? Wird nach sowas gesucht oder "stolpert" man von Zeit zu Zeit mal über eine?
Also böse gesagt Unvermögen oder Unabänderlichkeit?

 

[el guapo]

Unvermögen UND Unabänderlichkeit :-)

 

[joffs]

Konnte den Exploit bestens nachvollziehen. Den Code in eine HTML-Seite gepackt, im IE geöffnet und nach kurzer Zeit war der IE weg und der Taschenrechner strahlte mich an!

Schon erstaunlich was da so geht...

 

[Dulla]

Hallo!

Bei mir hängt sich auch der Firefox 1.5.0.1 auf wenn ich eine Seite mit dem Code anzeigen will!
Der Arbeitsspeicher geht bei mir genau wie beim IE in die Knie.

 

[Andy4]

Jop, das kann ich bestätigen, bei mir schmiert er dann auch ab.

Edit: Beim IE passiert bei mir eigentlich gar nichts. Es wird geblock.

Gruß Andy

 

[Dulla]

@andy4:

Beim IE passiert nur nichts wenn du die Datei lokal von deinem PC öffnest, weil du dich dann in einer anderen Sicherheitszone befindest!
Du müsstest sie wo hochladen und dann öffnen.

MfG

 

[gEexTaH]

Also ich hab es auch gerade mal getestet, ausser einem IE Absturz passiert da nichts....kein Taschenrechner zu sehen

 

[MountWalker]

Ja, das hängt auch von den Browsereinstellungen ab, nicht jeder hat alles aktiviert oder alles auf "Mittel".

Dass in Javascriptinginterpretern schwerste Sicherheitslücken auftauchen ist aber keine Seltenheit, das passiert auch bei anderen Browsern und hängt mit dem Aufbau von Javascripting zusammen. Wer mehr wissen will, kann mal das BSI ansurfen, die erklähren das unter "aktive Elemente" erklährt.

Problem bei ActiveScripting ist lediglich, dass ActiveScripting auch zusätzlich ActiveX-Elemente starten kann, wenn diese allgemein (unter "Erweitert", nicht in den Zoneneinstellungen) aktiviert sind, weswegen ActiveScripting allgemein als unsicherer eingestuft wird, das ist bei dieser Lücke hier aber nicht von Bedeutung.

P.S.
Javascripting ist die Sprache, JavaScript ist nur der spezifische Javascripting-Interpreter von Netscape/Mozilla.

 

[riod]

active scripting ist toll... man kann tolle sachen machen zumidnest als programmierer und wenn ihr nörgler mir jetzt wieder mit sicherheit kommt dann stellts doch einfach ab, wie beim mozilla, dann passiert euch sowas nicht ....

 

[Andy4]

Na gut, wenns erst vom Internet kommen muss. Aber was solls? Gerade Rechner eingeschaltet: Siehe Anhang. Und das ist die Datei, die ich erstellt habe. Darum mach ich mir da nicht mehr so viele Gedanken.

Gruß Andy