neue Sicherheitslücke im IE 6.0 aka "back to the old well known bugs"

[Rushjo]

Wie heise.de unter Berufung auf ein Posting von http-equiv auf der Mailing-Liste "Full Disclosure" berichtet, existiert in der aktuellen, vollgepatchten Version vom IE 6.0 und scheinbar auch in der ServicePack2 ReleaseCanditat Version ein Bug, der schon mal 1998 bekannt war. Dieser sogenannte "iframe" Bug erlaubt es geöffneten Fenstern Code in andere geöffnete Fenster einzuschleusen, sogenannten Cross-Domain-Scripting. Microsoft berichtete 1998 über diesen Bug und stellte damals für den IE 3.X und IE 4.0 einen Patch zur Verfügung, hier. Dazu gibt es von http-equiv auch einen kleine Demonstration, hier.

Tja, scheinbar fällt Microsoft beim Programmieren von Bugs nichts Neues mehr ein, sodass sie auf alte bekannte und gut funktionierende Bugs zurückgreifen müssen...

MfG Rushjo

[1] Quelle "Noch mehr Bugs im InternetExplorer 6", heise.de (deutsch)
[2] Quelle Posting http-equiv "SUPER SPOOF DELUXE: Take Two", pipermail.com (english)
[3] Quelle "Microsoft Security Bulletin MS98-020", microsoft.com (english)
[4] Demonstration dieses "old, new" Bug, malware.com (english)

 

[chrisi]

...solang's nur der IE ist...
*pfeif*

..aber schon interessant. Hm, aber da müsste ja also auf der, von einem selbst absichtlich und als "sicher" aufgerufenen Seite schon ein Script sein, dass auf die Seite verweist, die dann den aggressiven Code beinhaltet, oder?


LG ~chrisi~

 

[Rushjo]

Nein, Du musst nur zwei Fenster gleichzeitig öffnen, wobei von dem einem Fenster (meinetwegen vertrauenswürdigen Fenster z.B. Online-Banking) den Namen weisst, das zweite Fenster (aus der unsicheren Quelle z.B. irgendeine WebSite) kann nun mit Hilfe des Namens der ersten Fensters dort beliebigen html-Code oder Script-Code drin ausführen. Das nennt sich dann "Cross Domain Scripting".

MfG Rushjo

P.S. Es ist im Beispiel und im Posting von http-equiv auch schön erklärt. Das Beispiel arbeitet z.B. mit der WebSite von Microsoft als "trusted domain" und Malware als "untrusted domain".

 

[chrisi]

Okay, danke... hab's verstanden.

LG ~chrisi~

 

[Frosty]

Deswegen nehme ich auch einen vernünftigen Webbrowser

 

[beko]

Original von Frosty
Deswegen nehme ich auch einen vernünftigen Webbrowser

Hero

 

[Rushjo]

Wie heise.de heute aktuell berichtet, existiert für die Sicherheitslücke im IE mittels Browser Helper Object (BHO) ein Code einzuschleusen nun auch aktuelle Beispiele. Das SANS Internet Storm Center hat einen Trojaner entdeckt, der diese Lücke ausnutzt und dann sich in alle Kommunikation des IE einklinken kann, auch in "https" Verbindungen. Dabei versucht er gezielt an Passwörter und Kundendaten von HomeBanking zu gelangen. Interessanterweise sind auch einige deutsche Banken unter den Url's:

.deutsche-bank.de
.citibank.de
.sparkasse-banking.de
banking.lbbw.de
dit-online.de
.dab-bank.com

Der Trojaner sendet diese Daten kann verschlüsselt an einen externen Server. Mit dieser Verschlüsselung der Daten umgeht er so einfach Schutzmechanismen wie die Desktop Firewall ZoneAlarm.

An never ending story.....

MfG Rushjo

[1] Quelle "IE-Erweiterung spioniert Home Banking aus", heise.de (deutsch)
[2] Quelle "ISC - Analysis of Banking Malware.pdf", isc.sans.org (english)

 

[Rushjo]

Panik-Mache durch heise.de

Wie heise.de heute abermals berichtet, sollen nun auch alle anderen Browser (z.B. IE, Konqueror, Opera und Safari) bis auf Mozilla 1.7 und Firefox 0.9 von diesen Problem betroffen sein. Dies ist für mich leider momentan nicht nachvollziehbar, der BrowserCheck bewirkt beim meinem Opera 7.23 (Version 7.23,Build 3227, Win2k, SP4, KB823980, KB824146, KB828028, KB835732) garnichts, sprich die zweite geöffnete Seite wird nicht im Fenster der ersten Seite angezeigt. Mich würden mal Eure Erfahrungen unter Angabe der entsprechenden Browser, OS und ggf. Sicherheitseinstellungen interessieren.

"Phising" -- zu mindestens ein schönes neues Wort hat sich heise.de einfallen lassen...

MfG Rushjo

[1] Quelle "Phising mit Frames", heise.de (deutsch)

 

[ivegotmail]

ich benutze opera 7.51 (win 2k) und dort wird beim diesem browsercheck die zweite seite in der ersten geladen
der bug ist bei mir also nachvollziehbar
ich habe auf einem anderen rechner (auch win 2k) noch opera 7.23 drauf und da ist der bug ebenfalls existent

 

[Mackz]

Unter XP hab ich folgende getestet:
- IE6 SP1 -> verwundbar
- IE6 SP2 -> verwundbar
- Opera 7.01 -> verwundbar
- Opera 7.23 -> verwundbar
- Firefox 0.9.1 -> nicht verwundbar

=> Es ist anzunehmen das neben allen IE Versionen, auch alle Opera Versionen betroffen sind.

 

[Rushjo]

Okay, der Fehler lag bei mir am Verwenden von "tabs", was ich aber immer mache.

MfG Rushjo

 

[non]

Epiphany 1.2.5 -> nicht verwundbar

 

[Mechanius]

mozilla 1.7 => sicher

 

[eroX]

Original von Mackz

- Firefox 0.9.1 -> nicht verwundbar

-Firefox 0.9.0 -> nicht verwundbar 8)

gruß eroX 8)

 

[keytrix]

was sagt uns das....

jeder sollte sich mal seinen standard-browser anschauen und auf den richtigen wechseln....
und vor allem unbedarften usern mal einen link von zum browsercheck schicken...

http://www.datenschutzzentrum.de/systemdatenschutz/meldung/sm14.htm

 

[ivegotmail]

ist zwar noch nicht auf der offiziellen download seite verlinkt aber opera version 7.52 ist draussen, in welcher der bug behoben wurde

download-link: ftp://ftp.opera.com/pub/opera/win/752/en/std/ow32enen752.exe