Donnerstag, 28. September 2006
Sicherheitswarnung! Mithilfe der fehlerhaften webvw.dll laesst sich ueber den Internet Explorer u.U. beliebiger Schadcode ausfuehren!
Das Internet Storm Center berichtet von einer weiteren Lücke im Internet Explorer im Zusammenhang mit der "Shellwebansicht-Inhalts- und Steuerelementbibliothek" (webvw.dll), über die sich ein Absturz des Internet Explorer provozieren lässt. Diese Lücke erlaubt "möglicherweise" das Einschleusen und Ausführen von beliebigem, schadhaften Code, gefährdet also die Systemsicherheit!
Diese Sicherheitslücke wurde mit dem Sicherheitsupdate KB923191 (MS06-057) für Windows XP SP2, Windows XP SP1 und Windows 2000 vom 10. Oktober 2006 behoben.
Diese Sicherheitslücke wurde mit dem Sicherheitsupdate KB923191 (MS06-057) für Windows XP SP2, Windows XP SP1 und Windows 2000 vom 10. Oktober 2006 behoben.
Historisches:
Am 29.09.2006 (MESZ) hat Microsoft dann auch reagiert und ein Security Advisory zu diesem Problem veröffentlicht, welches sich mit den auch bisher schon hier zu findenden Problemumgehungen (Workarounds) deckt. MS kündigt darin auch an, an einem Patch zu arbeiten, der zum nächsten "Patchday" am 10. Oktober 2006 veröffentlicht werden soll.
Abhilfe bis zur Beseitigung des Fehlverhaltens:
Das Heraufsetzen der Sicherheitsstufe für die Sicherheitszonen "Internet" und "Lokales Intranet" des Internet Explorers auf "Hoch" (Internetoptionen | Sicherheit), alternativ die Umstellung auf der Einstellungen für ActiveX-Controls auf "Eingabeaufforderung".
Daneben hilft es z.B. auch, das betroffene ActiveX-Control gezielt zu deaktivieren, ihm also das sogenannte "KillBit" zu setzen und ggf. auch wieder aufzuheben. Zu diesem Zweck steht übergangsweise eine 2 KB kleine Datei zum Download bereit. Die ZIP-Datei nach dem Herunterladen entpacken und bitte zuerst die "Lies_mich.txt"-Datei öffnen und lesen!
Oder einen alternativen Browser (z.B. Firefox oder Opera) verwenden.
Ferner sei aus grundsätzlichen Erwägungen mal wieder dringend angeraten, nicht mit Adminrechten zu arbeiten und insbesondere online zu gehen, sondern stattdessen ein Benutzerkonto mit eingeschränkten Rechten zu verwenden!
Am 29.09.2006 (MESZ) hat Microsoft dann auch reagiert und ein Security Advisory zu diesem Problem veröffentlicht, welches sich mit den auch bisher schon hier zu findenden Problemumgehungen (Workarounds) deckt. MS kündigt darin auch an, an einem Patch zu arbeiten, der zum nächsten "Patchday" am 10. Oktober 2006 veröffentlicht werden soll.
Abhilfe bis zur Beseitigung des Fehlverhaltens:
Das Heraufsetzen der Sicherheitsstufe für die Sicherheitszonen "Internet" und "Lokales Intranet" des Internet Explorers auf "Hoch" (Internetoptionen | Sicherheit), alternativ die Umstellung auf der Einstellungen für ActiveX-Controls auf "Eingabeaufforderung".
Daneben hilft es z.B. auch, das betroffene ActiveX-Control gezielt zu deaktivieren, ihm also das sogenannte "KillBit" zu setzen und ggf. auch wieder aufzuheben. Zu diesem Zweck steht übergangsweise eine 2 KB kleine Datei zum Download bereit. Die ZIP-Datei nach dem Herunterladen entpacken und bitte zuerst die "Lies_mich.txt"-Datei öffnen und lesen!
Oder einen alternativen Browser (z.B. Firefox oder Opera) verwenden.
Ferner sei aus grundsätzlichen Erwägungen mal wieder dringend angeraten, nicht mit Adminrechten zu arbeiten und insbesondere online zu gehen, sondern stattdessen ein Benutzerkonto mit eingeschränkten Rechten zu verwenden!
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
