Archiv für die Kategorie „Browser”
12. Februar 2009 von Dieter | 6 Kommentare
Sicherheitslücke für Internet Explorer: Code in Bildern
Heise berichtet über eine weitere Sicherheitslücke für den Internet Explorer (IE) bis einschließlich Version 7. Danach besteht beim Internet Explorer die Gefahr, dass Code in einem Bild ausgeführt wird, wenn der Benutzer ein Bild hochlädt, das entsprechenden Schadcode enthält. Gefährlich ist damit insbesondere die Nutzung von Web 2.0-Diensten, bei denen man auch fremde Bilder hochladen kann, wenn man das mit dem Internet Explorer macht.
Laut Heise Security ist mit einem Schließen dieser Lücke in nächster Zeit nicht zu rechnen!
Deshalb meine Empfehlung: Den Internet Explorer durch einen anderen Browser ersetzen. Alternativen gibt es genug!
Der Vollständigkeit halber hier noch der Wortlaut der Meldung bei Heise.de:
Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können.
Das Ganze war eigentlich als Schutzfunktion gedacht: Beim Öffnen einer Datei verlässt sich der Internet Explorer nicht blind auf möglicherweise falsche Anzeichen wie Dateinamen oder den MIME-Typ, den der Server übermittelt. Gibt es Grund zum Zweifel, etwa weil widersprüchliche Angaben vorliegen, schaut er in die Datei hinein und entscheidet an Hand des Inhalts, wie sie zu behandeln ist. Dieses sogenannte MIME-Sniffing kann dann sogar dazu führen, dass er in einer Bilddatei HTML-Code entdeckt, diesen rendert und eingebettetes JavaScript ausführt. Dieser Script-Code läuft dann im Kontext der Website und kann beispielsweise die Zugangsdaten des Anwenders ausspionieren.
Deshalb sollten die Betreiber von Webseiten, bei denen Anwender Bilder hochladen können, Typ und Inhalt der Bilder prüfen, bevor sie diese online stellen. Alternativ können sie die Bilder auch konvertieren, um eventuell eingebetteten Code zu entfernen. Den genauen Hintergrund und Demonstrationen des Problems präsentiert ein Hintergrund-Artikel auf heise Security.
Siehe dazu auch:
- Gefährliches Schnüffeln, MIME-Sniffing im Internet Explorer ermöglicht Cross-Site-Scripting-Angriffe auf heise Security
- MIME sniffing in Internet Explorer enables cross-site scripting attacks englische Version auf heise Security/UK
- Passwortklau für Dummies, oder warum Cross Site Scripting wirklich ein Problem ist Hintergrund-Artikel auf heise Security
Infos
Webseite veröffentlicht am Donnerstag, den 12. Februar 2009, um 07:28 Uhr, zuletzt geändert am
Sonntag, den 22. November 2009, um 20:54 Uhr.
Kategorie: Browser
Schlagworte: Bilder, Code, Internet Explorer, Schadcode, Sicherheitslücken, Web 2.0-Dienste
1. Ute
Kommentar vom 16. Februar 2009 um 10:02
Für die Empfehlung ist als Grund noch nicht einmal diese Lücke nötig.
2. Dieter
Kommentar vom 16. Februar 2009 um 11:16
Stimmt, dafür gibt es unzählige Gründe. Aber bei jedem neuen Grund erinnere ich gerne an die Empfehlung!
Bei Gelegenheit werde ich mal die Gründe auflisten.
3. Ute
Kommentar vom 16. Februar 2009 um 12:29
Ups, das wird aber ein ausführlicher Beitrag.
4. Dieter
Kommentar vom 16. Februar 2009 um 13:28
Jepp! Damit das überhaupt zu leisten ist, gibt es das Ganze dann in Listenform.
5. Blogger
Kommentar vom 1. Juni 2009 um 18:31
Ich weis nicht, trotz aller Lücken in den Systemen ist mir bisher noch nichts passiert und ich bin schon ein Power User. Wird hier mehr Wind gemacht als nötig?
6. Dieter
Kommentar vom 1. Juni 2009 um 18:50
Jetzt schon. Bei Deinem SEO-Kommentar habe ich den Link zur Webseite entfernt und den Namen vom Suchbegriff befreit!
Nein, aber wer versucht einen SEO-Kommentar für einen Online-Bezahlungsdienst zu platzieren, hat offensichtlich ein Interesse daran, dass Sicherheitslücken nicht publik werden oder versucht zumindest solche Lücken klein zu reden. Der Versuch ist hier aber nach hinten los gegangen!