IE-Patch unzureichend
Zwar hat Microsoft mit seinem letzten Patch auf Sicherheitslücken im Internet Explorer reagiert, dabei aber leider einige Angriffspunkte übersehen.
Der vom Microsoft
veröffentlichte Patch stopft zwar das Leck im ActiveX-Objekt ADODB.Stream des Internet Explorers – wenn auch nur durch Deaktivierung in der Registry. Allerdings ist der Browser für Angriffe über andere ActiveX-Controls wie Shell.Application weiterhin ungeschützt. Darauf wird in der Mailingliste Bugtraq hingewiesen.
Zudem hat Microsoft mit dem Patch auch nicht den Fehler im Zonenmodell beseitigt, der die Grundlage für diese Attacken bildet. Denn erst durch die so erlangten Rechte lassen sich die ActiveX-Objekte missbrauchen. (dd)
Weitere Infos:
Beitrag auf Bugtraq