(am) - In der Nacht von Freitag auf Samstag wurde eine neue Sicherheitslücke im Microsoft Internet Explorer gemeldet, die die Einspeisung beliebigem Schadcodes erlaubt.

Über die BugTraq Mailingliste wurde eine neue Sicherheitslücke im Microsoft Internet Explorer gemeldet, über die sich beliebiger Schadcode beim Besuch einer manipulierten Website in das betroffene System einspeisen lässt. In einem Blog Eintrag vom Samstag bestätigt Symantec diese Sicherheitslücke und erklärt, dass sie auch mit den älteren Versionen 6 und 7 des Internet Explorers funktioniert.

Der Angriff nutzt eine Schwachstelle bei der Implementierung der Cascading Style Sheets (CSS), die von zahlreichen Websites verwendet wird. Durch die gezielte Manipulation der CSS Definition einer Website können Angreifer die Lücke im Internet Explorer zur Einspeisung von beliebigem Schadcode ausnutzen. Ein Statement von Microsoft liegt bislang noch nicht vor, es wird am morgigen Montag damit gerechnet.

Quelle: TEC Channel

(am) - Über eine Schwachstelle bei der Verarbeitung von Fließkommazahlen im Webbrowser Opera können Angreifer beliebigen Schadcode in ein betroffenes System einspeisen.

Laut einer Meldung von Security Reason tritt die Sicherheitslücke in Opera 10.01 und Opera 10.10 Beta auf. Frühere Versionen des Webbrowsers sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht bei der Implementierung des DTOA Algorithmus, die bei der Erzeugung von Fließkommazahlen das im Parameter “Kmax” angegebene Limit ignoriert. Durch gezielte Manipulation dieser Funktionalität können Angreifer beliebigen Schadcode in ein betroffenes System einspeisen und ausführen. Ein Proof-of-Concept, der die Schwachstelle demonstriert, liegt bereits vor.

Im RC3 des aktuellen Beta Version 10.10 von Opera wurde die Sicherheitslücke bereits behoben. Mit einem Fix für die Release Version 10.01 wird in den nächsten Tagen gerechnet.

Quelle: TEC Channel