Neue kritische Lücke im Internet Explorer aufgetaucht
Ein paar Zeilen HTML-Code, die auf einer Sicherheitsliste mit dem Betreff IE7 anonym und kommentarlos veröffentlicht wurden, entpuppen sich als bislang unbekanntes Sicherheitsproblem des Microsoft-Browsers.
Auf der Sicherheits-Mailingliste Bugtraq tauchte am vergangenen Freitag ein Posting mit dem Betreff "IE7" auf, das lediglich ein paar Zeilen kommentarlosen HTML-Code enthielt. Mittlerweile haben mehrere Sicherheits-Dienstleister bestätigt, dass der Code eine bislang unbekannte Sicherheitslücke in Internet Explorer aufzeigt.
In ersten Tests von heise Security stürzte der Internet Explorer beim Aufruf der HTML-Seite ab. Die Sicherheitsfirma Symantec bestätigt, dass der vorliegende Zeroday-Exploit noch unzuverlässig ist, erwartet aber in naher Zukunft das Auftauchen von stabilerem Code, der dann eine reale Gefahr darstellt. Das französische VUPEN konnte das Sicherheitsproblem mit Internet Explorer 6 und 7 auf Windows XP SP3 nachvollziehen und warnt, dass Angreifer damit eigenen Code einschleusen und so ein System mit Schadcode infizieren könnten. Eine Stellungnahme von Microsoft zu dem Problem liegt bislang nicht vor.
Wer sich hinter dem angeblichen Absender "securitylab.ir" verbirgt, ist derzeit unbekannt. Das Pseudonym taucht jedoch etwa seit April 2009 in Advisories und Exploits aus ganz verschiedenen Bereichen auf. Der Fehler tritt offenbar beim Aufruf der JavaScript-Methode getElementsByTagName auf. Somit können sich Nutzer des Internet Explorer schützen, indem man in dessen Einstellungen Active Scripting für die Internet-Zone deaktiviert. Damit werden allerdings viele Web-Seiten nicht mehr funktionieren. Da der Fehler in der Microsoft-Bibliothek mshtml.dll verortet wird, ist nicht anzunehmen, dass auch andere Browser betroffen sind.
Siehe dazu auch:
- Sicherheitseinstellungen des Internet Explorer anpassen im heise Security Browsercheck
(ju)
