0day im Internet Explorer: Dateidiebstahl auf Windows-PCs

Ein Problem im Internet-Explorer gefährdet alle Windows-Nutzer – auch wenn sie den Zombie-Browser nicht nutzen. Microsoft will das jedoch nicht patchen.

In Pocket speichern vorlesen Druckansicht 267 Kommentare lesen
Internet Explorer

(Bild: dpa, Jens Schierenbeck)

Lesezeit: 2 Min.

Der Sicherheitsforscher John Page beschreibt eine Zero-Day-Lücke im Internet Explorer, über die Angreifer Dateien stehlen können. Microsoft will anscheinend keinen Patch dagegen ausliefern und hat den Fall geschlossen. Dabei könnte das Problem selbst Anwender treffen, die den IE selbst gar nicht mehr nutzen.

Internet Explorer ist nämlich seit 1995 in allen Windows-Versionen enthalten und standardmäßig mit den MHT-Dateien verknüpft, in denen Microsoft früher Web-Seiten archivierte (MIME HTML). Heute kommt das MHT-Format praktisch nicht mehr zum Einsatz. Aber als heise Security eine MHT-Datei auf einem aktuellen Windows-10-System doppelt klickte, öffnete sich prompt der Zombie-Browser aus Redmond. Wie Page erklärt, hätte diese MHT-Datei wegen eines Fehlers bei der Behandlung von XML-Objekten eine beliebige Datei des Windows-Systems stehlen und auf einen externen Server hochladen können.

Page hat dieses Problem nach eigenen Angaben bei Microsoft gemeldet. Deren Sicherheitsteam antwortete jedoch nur mit einem Hinweis, dass man einen Fix für eine spätere Version in Betracht ziehe und den Fall damit schließe. Daraufhin veröffentlichte Page die Informationen zu dem IE-Sicherheitsproblem beim Umgang mit External XML Entities und dokumentiert den möglichen Angriff in einem Youtube-Video.

Eine bösartige MHT-Datei könnte als Dateianhang einer Mail ankommen oder als Download von einer Web-Seite. Dann müsste der Angreifer sein anvisiertes Opfer nur noch dazu bewegen, diese Datei auch tatsächlich zu öffnen. Anwender und Administratoren sollten beim Umgang mit MHT-Dateien also große Vorsicht walten lassen und diese im Zweifelsfall lieber löschen als öffnen. (ju)