Neue kritische Lücke im Internet Explorer aufgetaucht

Auf der Sicherheits-Mailingliste Bugtraq tauchte am vergangenen Freitag ein Posting mit dem Betreff "IE7" auf, das lediglich ein paar Zeilen kommentarlosen HTML-Code enthielt. Mittlerweile haben mehrere Sicherheits-Dienstleister bestätigt, dass der Code eine bislang unbekannte Sicherheitslücke in Internet Explorer aufzeigt.

Derzeit stürzt der Internet Explorer beim Aufruf des Exploit-Codes noch meistens ab. In ersten Tests von heise Security stürzte der Internet Explorer beim Aufruf der HTML-Seite ab. Die Sicherheitsfirma Symantec bestätigt, dass der vorliegende Zeroday-Exploit noch unzuverlässig ist, erwartet aber in naher Zukunft das Auftauchen von stabilerem Code, der dann eine reale Gefahr darstellt. Das französische VUPEN konnte das Sicherheitsproblem mit Internet Explorer 6 und 7 auf Windows XP SP3 nachvollziehen und warnt, dass Angreifer damit eigenen Code einschleusen und so ein System mit Schadcode infizieren könnten. Eine Stellungnahme von Microsoft zu dem Problem liegt bislang nicht vor.

Wer sich hinter dem angeblichen Absender "securitylab.ir" verbirgt, ist derzeit unbekannt. Das Pseudonym taucht jedoch etwa seit April 2009 in Advisories und Exploits aus ganz verschiedenen Bereichen auf. Der Fehler tritt offenbar beim Aufruf der JavaScript-Methode getElementsByTagName auf. Somit können sich Nutzer des Internet Explorer schützen, indem man in dessen Einstellungen Active Scripting für die Internet-Zone deaktiviert. Damit werden allerdings viele Web-Seiten nicht mehr funktionieren. Da der Fehler in der Microsoft-Bibliothek mshtml.dll verortet wird, ist nicht anzunehmen, dass auch andere Browser betroffen sind.

Siehe dazu auch:

• Sicherheitseinstellungen des Internet Explorer anpassen im heise Security Browsercheck