Microsoft bestätigt kritische Lücke im Internet Explorer

Microsoft hat die am Wochenende gemeldete kritische Sicherheitslücke bestätigt und weitere Informationen zu betroffenen Systemen veröffentlicht. Demnach sind der Internet Explorer 6 SP1 unter Windows 2000 Service Pack 4 sowie Internet Explorer 6 und 7 unter Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 verwundbar. Der Fehler steckt jedoch nicht im Internet Explorer 5.01 SP4 und Internet Explorer 8.

Ursache des Problems ist ein falsch referenzierter Zeiger im Microsoft HTML Viewer (mshtml.dll) bei der Verarbeitung bestimmter CSS/STYLE-Objekte über die JavaScript-Methode getElementsByTagName(). Zeigt der Zeiger auf ein bereits gelöschtes Objekt, lässt sich dadurch der Browser zum Absturz bringen oder eingeschleuster Code starten. Der bereits kursierende Exploit arbeitet noch nicht stabil und führt oftmals nur zum Crash des Browsers. Bislang gibt es aber offenbar keine bekannten Webseiten, die die Lücke aktiv ausnutzen, um die PCs von Besuchern mit Schadcode zu infizieren. Dies kann sich jedoch schnell ändern.

Microsoft arbeitet an einem Sicherheits-Update und empfiehlt bis dahin, die Sicherheitseinstellungen für den Internet Explorer in der Internet- und lokalen Intranet-Zone auf "hoch" zu stellen. Alternativ schlagen die Redmonder vor, Active Scripting komplett zu deaktivieren. Damit werden allerdings viele Web-Seiten nicht mehr funktionieren. Laut Bericht soll die Datenausführungsverhinderung (DEP) Angriffe ins Leere laufen lassen. Der standardmäßig konfigurierte geschützte Modus des Internet Explorer 7 unter Vista soll zumindest die Auswirkung eines Angriffs eindämmen können.

Laut Bericht sind grundsätzlich auch Microsoft Outlook, Microsoft Outlook Express und Windows Mail betroffen, allerdings öffnen diese Anwendungen HTML-Mails standardmäßig mit den Rechten einer eingeschränkten Site, die Active Scripting verhindern.

Siehe dazu auch:

• Neue kritische Lücke im Internet Explorer aufgetaucht