Microsoft bestätigt kritische Sicherheitslücke [Update]

Microsoft hat auf die ersten Berichte über eine kritische Sicherheitslücke im Internet Explorer mit einer eigenen Sicherheitsmeldung reagiert.

In Pocket speichern vorlesen Druckansicht 324 Kommentare lesen
Lesezeit: 3 Min.
Von

Auf die am gestrigen Donnerstag bekannt gewordene Sicherheitslücke im Internet Explorer hat Microsoft mit einer eigenen Sicherheitsmeldung reagiert, in der das Unternehmen das Problem bestätigt. Durch präparierte Dateien für animierte Cursor (.ani) etwa in Webseiten oder E-Mails können Angreifer beliebigen Programmcode auf die Rechner von Anwendern schleusen. Laut der Sicherheitsmeldung untersucht Microsoft die Sicherheitslücke noch. Eine unzureichende Überprüfung des Dateiformats sei jedoch für das Sicherheitsleck verantwortlich. Das Unternehmen plant, ein Update herauszugeben, um die Lücke zu schließen.

Als Workaround schlägt der Hersteller in der Meldung vor, keine vertrauensunwürdigen Webseiten anzusurfen sowie suspekte Mails gar nicht erst anzusehen. Man könne in Outlook ab Version 2002 sowie in Windows Mail HTML-Mails als Text ansehen, was jedoch nicht davor schützt, dass die Lücke beim Weiterleiten von infizierten Mails ausgenutzt wird. In Outlook Express schützt der Textmodus jedoch nicht. Outlook 2007 nutze Word zur Anzeige von E-Mails und sei daher vor einem Angriff geschützt.

Der Fehler betrifft den Internet Explorer 6 und 7 unter den Betriebssystemen Windows 2000 SP 4, XP mit Service Pack 2, XP 64-Bit Version 2003 für den Itanium, XP Professional x64, Windows Server 2003 mit und ohne Service Pack 1 (auch für den Itanium), Server 2003 x64 Edition und auch das neueste Betriebssystem aus Redmond, Windows Vista. In Vista sind jedoch hauptsächlich Outlook und Windows Mail verwundbar, da Microsoft in der Sicherheitsmeldung darauf hinweist, dass der Internet Explorer 7 im geschützten Modus nicht anfällig ist. Wer den geschützten Modus deaktiviert hat, sollte ihn daher wieder einschalten.

Bis zur Verfügbarkeit des angekündigten Sicherheitsupdates sollten Anwender die vorgeschlagenen Workarounds umsetzen. Zum Surfen im Netz ist es jedoch ratsam, zumindest temporär einen alternativen Webbrowser einzusetzen.

Update:

Der Sicherheitsdienstleister Determina, der bereits im Oktober vergangenen Jahres inoffizielle Patches für Schwachstellen im Internet Explorer veröffentlicht hat, meldet in einem Fehlerbericht, dass er Microsoft bereits im Dezember 2006 über die Lücke informiert habe. Ein Eintrag in der Datenbank Common Vulnerabilities and Exposures (CVE) ist bereits reserviert, enthält aber noch keine Details.

Laut Fehlerbericht reduziert der geschützte Modus des IE7 unter Vista das Risiko lediglich ein wenig, Angreifer könnten jedoch immer noch eine Hintertür in Form einer Shell öffnen. Außerdem führe Firefox unter bestimmten, nicht genannten Umständen die Windows-Routinen zur Verarbeitung von ANI-Cursorn aus.

Die Schwachstelle ist Determina zufolge auf einen unzulänglichen Patch für die Schwachstelle bei der Verarbeitung von animierten Cursorn aus dem Jahr 2005 zurückzuführen.

Siehe dazu auch:

(dmk)