WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Neuer IE-Exploit auf Amnesty-Website
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

Antwort
 
Themen-Optionen Ansicht
Alt 11.11.2010, 20:21   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Neuer IE-Exploit auf Amnesty-Website
Zitat:
Eine Website der Menschenrechtsorganisation Amnesty International ist gehackt und mit einem Exploit-Kit präpariert worden. Unter den genutzten Exploits ist auch einer für eine nagelneue Sicherheitslücke im Internet Explorer.

In allen derzeit unterstützten Versionen des Internet Explorer, abgesehen von IE 9 Beta, steckt eine kritische Schwachstelle, die erst seit einigen Tagen bekannt ist. Laut Microsoft wird sie nur für wenige gezielte Angriffe ausgenutzt. Doch inzwischen ist Exploit-Code für diese Lücke öffentlich verfügbar und in die Malware-Kits von Online-Kriminellen integriert, die damit gehackte Websites präparieren.

Wie das Sicherheitsunternehmen Websense meldet, ist die Website von Amnesty International (ai) in Hongkong mit einem Exploit-Kit präpariert worden, das auch die neue IE-Lücke auszunutzen versucht. In den Quelltext der Startseite ist ein iFrame eingefügt worden, der verschleierten Javascript-Code von einem US-Server lädt. Dieser Script-Code lädt weitere Seiten in den Browser, die jeweils einen Exploit für Sicherheitslücken im Flash Player, im Shockwave Player und in Quicktime enthalten.

Seiten in Unterverzeichnissen der ai-Website sind außerdem mit einem Exploit für eine kürzlich entdeckte Lücke im Internet Explorer präpariert worden. Im Erfolgsfall, wenn also ein anfälliger Browser oder ein nicht mehr ganz aktuelles Plug-in verwendet wird, schleusen die manipulierten Seiten Malware in den Rechner eines Besuchers ein.

Die IE-Schwachstelle ist eine CSS-Lücke (Cross-Site Scripting) in der Komponente mshtml.dll, die für die HTML-Anzeige zuständig ist. Der veröffentlichte Demo-Exploit öffnet eine Hintertür in den Rechner, über die Malware eingeschleust werden kann.

Microsoft Fix-it-Tool
Microsoft hat bislang noch kein Update bereit gestellt, um diese kritische Sicherheitslücke zu schließen. In der Sicherheitsmitteilung 2458511 empfiehlt Microsoft für den IE 7 die Schutzmaßnahme DEP (Data Execution Prevention) zu aktivieren. Für den IE 8 ist DEP standardmäßig aktiv. Für den alten IE 6 bietet Microsoft ein Fix-it-Tool an, das den CSS-Exploit ins Leere laufen lässt. Auf der gleichen Microsoft-Seite findet sich auch ein Fix-it-Tool, um DEP zu aktivieren.
Quelle: http://www.magnus.de/news/neuer-ie-e...e-1031900.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:46 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag