So, ich benutze aus o.g. Gründen diesen Thread, um mal wieder ein wenig zu zitieren... Danke an die c't
Scharfer Internet-Explorer-Exploit veröffentlicht
(...) der Exploit des FrSIRT demonstriert nun, dass es über speziell präparierte Object-Tags mit einem Aufruf des COM-Objekts javaprxy.dll tatsächlich möglich ist, dass eine Web-Seite die volle Kontrolle über ein System übernimmt.
In Tests von heise Security genügte es, eine mit dem Exploit präparierte Web-Seite zu öffnen, um sich den einfachen Demo-Trojaner einzufangen, der einen Kommandzeilenprompt auf einem TCP-Port zur Verfügung stellt. Der auf dem System installierte Kaspersky-Virenscanner meldete dabei einen IFrame-Buffer-Overflow-Exploit -- wahrscheinlich, weil das FrSIRT einfach den Shellcode aus diesem Exploit wiederverwendet hat. Echte Angreifer würden sich da sicher mehr Mühe geben, verborgen zu bleiben. Die Windows-Firewall meldete sich ebenfalls zu Wort und warnte, dass sie Funktionen des Internet Explorer geblockt hätte und ob der Anwender diese freigeben möchte. Auch diese Warnung wird man bei einem echten Exploit kaum zu Gesicht bekommen.
Es ist zu befürchten, dass sehr bald modifizierte Versionen des Exploit im Internet auftauchen, die dann beispielsweise richtige Trojanische Pferde oder Spyware aus dem Internet nachladen und starten -- ohne Warnungen von Virenscannern oder Personal Firewall. Deshalb sollten sich Anwender bis Microsoft einen Patch bereitstellt, unbedingt selbst schützen. Dazu empfiehlt Microsoft, die Sicherheitseinstellungen des Internet Explorer auf "Hoch" zu setzen. Es genügt jedoch auch, wie im c't-Browsercheck beschrieben, die Ausführung von ActiveX zu deaktivieren. Weitere Schutzmaßnahmen wie das Deaktivieren des COM-Objekts javaprxy.dll beschreibt das Microsoft-Advisory. Wer mit eingschränkten Rechten surft, ist generell einem geringeren Risiko ausgesetzt, da ein Exploit maximal seine Rechte erlangen kann.
Betroffen sind alle Versionen des Internet Explorer, Nutzer anderer Browser müssen sich über die Lücke keine Sorgen machen.
