Neu ist der nicht. Es geht darum, dass alle lokalen Ressourcen des IE unter 'Internet Zone' - mit eingeschraenkten rechten - laufen; MIT AUSNAHME der funktion 'tabelle von links ausdrucken'. dies ist ein lokales resourcenscript, dass das zu druckende als html generiert. die urls in links werden ohne validierung ins html eingebettet. damit ist es theoretisch moeglich, ausfuerbaren code als speziell aufbereitetes url auf den rechner zu schmuggeln. da die funktion 'tabelle von links ausdrucken' unter der Zone 'Local Machine' - mit erweiterten rechten - arbeitet, besteht ein risiko.
Aviv Raff hatte Microsoft ueber nicht oeffentliche kanaele schon informiert, setzte diese aber unter druck, indem er drohte, die luecke und den proof of concept nach einer woche zu veroeffentlichen. dies ist jetzt geschehen.
Kritik an den Autor des Artikels:
Sie sollten bei solchen Themen (Sicherheit) die Quellen der Lueckenentdeckung besser recherchieren. Aviv Raff's Ruf zum Thema ist ja bekannt. Auch ist bekannt, dass PCTIPP eine resource ist, die gerne von Laien und Hobiisten konsultiert wird.
Aviv Raff hatte Microsoft ueber nicht oeffentliche kanaele schon informiert, setzte diese aber unter druck, indem er drohte, die luecke und den proof of concept nach einer woche zu veroeffentlichen. dies ist jetzt geschehen.
Kritik an den Autor des Artikels:
Sie sollten bei solchen Themen (Sicherheit) die Quellen der Lueckenentdeckung besser recherchieren. Aviv Raff's Ruf zum Thema ist ja bekannt. Auch ist bekannt, dass PCTIPP eine resource ist, die gerne von Laien und Hobiisten konsultiert wird.
Auf keinen Fall sollten Sie einen direkten URL-Link vom Artikel auf das Proof of Concept machen!
Zuletzt bearbeitet: