[HaBo]

Wie heise.de heute in zwei unterschiedlichen Berichten informiert, sind zwei neue Sicherheitslücken und eine alte Sicherheitslücke aufgetaucht. Dies soll zweimal den Internet Explorer (Sicherheitslücke 1 und Sicherheitslücke 2) betreffen, aber auch einmal alle "tabbed based" Browser" wie Mozilla, Opera etc. Beim Internet Explorer hat der Sicherheits-Experte http-equiv erneut durch eine leichte Änderung eines PoC-Exploit die Unsicherheit der Zonenteilung bewiesen, auch wenn er diesmal eine bisschen "tiefer in die Trickkiste" greifen musste. Für diese neue Lücke nutzt er eine Schwachstelle Datenbankeinbindung im Internet Explorer. Für diese neue Schwäche gibt es noch keinen Patch. Für die zweite, schon bekannte Sicherheitslücke bei der Verarbeitung von EMF-Bilder im Internet Explorer ist nun der erste PoC-Exploit (=manipulierte EMF-Bilder) aufgetaucht, sodass es dringend empfohlen wird, den Patch von Microsoft einzuspielen. Für alle "tabbed based" Browser gibt es von Secunia ein Advisory, indem beschrieben wird, das im Hintergrund geöffnete "tabs" Scripte ablaufen können, die z.B. Passwörter mitloggen etc. D.h. es ist beim Online-Banking die Sicherheit der Password Eingabe unter Umständen nicht gewährleistet.

Tja, "brave new world".....

MfG Rushjo

[1] Quelle "Wieder kritische Lücken im Internet Explorer", heise.de (deutsch)
[2] Quelle "Security Advisory von http-equiv], lists.netsys.com (english)
[3] Quelle "Exploit für Windows-Lücke bei Verarbeitung von EMF-Bildern", heise.de (deutsch)
[4] Quelle "PoC-Exploit von k-otik", k-otik.com (english)
[5] Quelle "Microsoft Patch für manipulierte EMF-Bilder", mircosoft.com (english)
[6] Quelle "Spionagegefahr durch Tabbed-Browsing], heise.de (deutsch)
[7] Quelle "Security Advisory von Secunia", lists.netsys.com (english)