Microsoft patcht kritische Lücke im Internet Explorer

Microsoft stellt im Rahmen des Patch-Days ein Sicherheits-Update für den Internet Explorer bereit, das eine seit einiger Zeit bekannte kritische Lücke schließt. Über die Lücke ist es möglich, Code auf ein System zu schleusen und auszuführen. Dazu reicht es aus, dass der Anwender eine präparierte Webseite mit Microsofts Webbrowser besucht. Windows XP mit Service Pack 2 ist von der Schwachstelle ebenfalls betroffen. Kurz nach Bekanntwerden der Lücke und des ersten Proof-of-Concept-Exploits Ende Dezember tauchten bereits Web-Seiten mit dem Trojaner Phel im Netz auf, der über dieses Loch Windows-Systeme infizierte.

Eigentlich besteht die Lücke aus einer Kombination von drei, teilweise seit Oktober bekannten Lücken und der zuletzt entdeckten Schwachstelle im ActiveX-Control zur Darstellung von Hilfeseiten (hhctrl.ocx). Laut Bulletin MS05-001 beseitigt Microsoft nur den Fehler im ActiveX-Control. Die drei anderen Fehler bleiben weiter im Internet Explorer enthalten. Immerhin haben die Redmonder relativ schnell reagiert, um das weitere Ausnutzen der Lücke vorerst zu verhindern. Anwender sollten den Patch so schnell wie möglich installieren und anschließend mit dem c't-Browsercheck überprüfen, ob das Loch auch wirklich geschlossen ist.

Im Bulletin MS05-002 beschreibt Microsoft zwei Lücken in der Verarbeitung von CUR-, ICO- und ANI-Dateien (Animierte Cursor). Eine davon will der Sicherheitsdienstleister eEye entdeckt haben. Die Redmonder stufen diese Lücke als kritisch ein. Ein Angreifer kann über präparierte Dateien einen Buffer Overflow provozieren und das System kompromittieren. Genannte Dateien können in E-Mails oder Web-Seiten eingebettet sein. Außer Windows XP mit Service Pack 2 sind alle Windows-Versionen betroffen. Die zweite Schwachstelle bringt nur das System zum Absturz. Ob es sich dabei um eine der am Heiligabend veröffentlichten Sicherheitslücken handelt, ist nicht klar. Die Firma Venustech hatte insgesamt drei Advisorys veröffentlicht, die sehr ähnliche Fehler beschreiben.

Einen Buffer Overflow im Indexing Service stuft Microsoft im Bulletin MS05-003 nur als "Important" ein, obwohl er sich zum Ausführen von Code über das Netzwerk eignet. Allerdings muss dazu das Web-based-Query-Interface des Internet Information Server aktiviert sein, was laut Bulletin standardmäßig nicht der Fall ist. Zudem ist der Indexing Service in den Voreinstellungen ohnehin deaktiviert. Der Fehler ist nur in Windows 2000 (SP1 bis SP4), der 32- und 64-Bit-Version des Server 2003 sowie Windows XP mit Service Pack 1 und XP 64-Bit zu finden.

Alle Patches stehen ab sofort zur Verfügung und sind über Windows-Update beziehungsweise den automatischen Update sowie über die einzelnen Security-Bulletins auch für deutschsprachige Systeme zu beziehen. Microsoft Österreich kündigte derweil für Freitag einen Live-Webcast zur Information und Diskussion über die neuen Security-Bulletins an -- zum ersten Mal hatte Microsoft Österreich eine solche Aktion anlässlich des Patch-Days im Dezember veranstaltet. (dab)