Freitag, 17. Dezember 2004
Internet Explorer: Sicherheitswarnung! Über einen Fehler in dhtmled.ocx lässt sich beliebiger Code einschleusen - Phishing
Am 08.02.2005 wurde KB891781 (MS05-013) veröffentlicht, der das Ausnutzen der Lücke beheben soll.
Betroffen ist auch der IE 6 SP2 mit allen Patches!
Eine deutschsprachige Beschreibung des Problems samt Demonstration desselben, lässt sich auf Heise finden. Allgemeines zum Thema "Phishing" bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Abhilfe bis zur Beseitigung des Fehlverhaltens:
IE6 SP2-Anwender können über den "Add-On-Manager" das fehlerbehaftete ActiveX-Control gezielt deaktivieren. Dazu im IE über "Extras" den Punkt "Add-Ons verwalten" aufrufen, danach die "Anzeige" auf "Vom Internet Explorer verwendete Add-Ons" umstellen und hier das ActiveX-Steuerelement "DHTML Edit Control Safe for Scripting IE5" deaktivieren. Danach alle offenen IE-Fenster schließen. Sollte das ActiveX-Steuerelement im Add-On-Manager nicht auftauchen, ist die Installation von KB888240 erforderlich. Danach die oben beschriebenen Schritte erneut durchführen.
Neben dem vollständigen Deaktivieren von ActiveX für die Internetzone, hilft als Würgaround auch, in den Internetoptionen unter "Sicherheit" für die Internetzone über "Stufe anpassen" die Option "Subframes zwischen verschiedenen Domänen bewegen" auf "Eingabeaufforderung" umzustellen bzw. -besser- sie gleich zu deaktivieren!
Eine deutschsprachige Beschreibung des Problems samt Demonstration desselben, lässt sich auf Heise finden. Allgemeines zum Thema "Phishing" bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Abhilfe bis zur Beseitigung des Fehlverhaltens:
IE6 SP2-Anwender können über den "Add-On-Manager" das fehlerbehaftete ActiveX-Control gezielt deaktivieren. Dazu im IE über "Extras" den Punkt "Add-Ons verwalten" aufrufen, danach die "Anzeige" auf "Vom Internet Explorer verwendete Add-Ons" umstellen und hier das ActiveX-Steuerelement "DHTML Edit Control Safe for Scripting IE5" deaktivieren. Danach alle offenen IE-Fenster schließen. Sollte das ActiveX-Steuerelement im Add-On-Manager nicht auftauchen, ist die Installation von KB888240 erforderlich. Danach die oben beschriebenen Schritte erneut durchführen.
Neben dem vollständigen Deaktivieren von ActiveX für die Internetzone, hilft als Würgaround auch, in den Internetoptionen unter "Sicherheit" für die Internetzone über "Stufe anpassen" die Option "Subframes zwischen verschiedenen Domänen bewegen" auf "Eingabeaufforderung" umzustellen bzw. -besser- sie gleich zu deaktivieren!
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
