Sicherheitslücke in Active-X-Control

In XMLHTTP-ActiveX-Control ist schon wieder ein Fehler aufgetaucht. Angreifer können auf betroffenen Windows-Systemen beliebigen Code unter den Rechten eines Nutzers ausführen, der eine entsprechend präparierte Website mit dem Internet Explorer besucht. Das Problem betrifft Microsofts XML Core Services 4.0 (MSXML).

Der französische FrSIRT hat den Fehler an einem aktuell gepatchten Windows XP SP2 mit MSXML 4.0 nachvollziehen können und stuft ihn als kritisch ein. Betroffen seien aber auch Windows 2000 SP4 und Server 2003 mit oder ohne SP1.

Microsoft hat ein Security Advisory veröffentlicht und ein Sicherheits-Update angekündigt. Bis dahin kann man sich durch Abschalten von ActiveX behelfen. Allerdings hat es Microsoft versäumt, klarzustellen, welche Systeme genau betroffen sind, also Version 4.0 von MSXML installiert haben. Wer sicher gehen möchte, sei auf die Versionsliste verwiesen. (ad)