Erste Sicherheitslücke im Internet Explorer 7 [Update]

Microsoft hat den Internet Explorer 7 gerade erst veröffentlicht, da meldet der Sicherheitsdienstleister Secunia schon die erste Sicherheitslücke im neuen Browser. Angreifer können durch die Schwachstelle laut Secunia vertrauliche Daten von geöffneten Webseiten ausspähen.

Secunia stellt auch eine Webseite zur Demonstration der Schwachstelle bereit, die nach dem Klick auf einen Link versucht, Inhalte von news.google.com auszulesen. Auf einem Testrechner von heise Security gelang dies unter einem Windows XP SP2 mit allen aktuellen Patches und der englischen Version vom Internet Explorer 7 – die deutsche Version des Browsers lässt noch immer auf sich warten.

Der Fehler, der sowohl den Internet Explorer 6 als auch die neue Ausgabe 7 des Microsoft-Webbrowsers betrifft, beruht auf den fehlerhaften Umgang von Umleitungen mit mhtml://-URIs. Als Gegenmaßnahme schlägt der Sicherheitsdienstleister vor, Active Scripting zu deaktivieren. Wer erst einmal abwarten und den Internet Explorer 7 nicht per automatischem Zwangs-Update Anfang November auf seinen Rechner installieren lassen möchte, findet Hilfestellung dazu in einem Artikel auf heise Security.

Update:
Das Problem ist keineswegs neu, sondern für Internet Explorer 6 bereits seit April 2006 bekannt.

Siehe dazu auch: (dmk/c't)

• Internet Explorer 7 "mhtml:" Redirection Information Disclosure, Sicherheitsmeldung von Secunia
• Demonstration der Sicherheitslücke von Secunia
• Das automatische Internet-Explorer-7-Update verhindern, Artikel auf heise Security