Microsoft patcht Internet Explorer

Der neueste Patch für den Internet Explorer schließt laut Microsoft "alle bekannten sowie neu entdeckte Sicherheitslücken". Die Firma Greymagic, die kürzlich ganze 9 Sicherheitslücken auf einen Schlag publiziert hat, relativiert diese optimistische Einschätzung jedoch. Nach ihren Angaben sind drei der Lücken nicht behoben.

Zumindest funktioniert der kürzlich veröffentlichte Exploit, mit dem man beliebige Programme ausführen konnte, nach Installation des Patches nicht mehr. Ob das Problem jedoch tatsächlich beseitigt wurde, oder nur dieser spezielle Exploit quasi zufällig nicht mehr funktioniert, ist noch unklar. Denn Microsoft selbst erwähnt dieses eklatante Sicherheitsproblem mit keiner Silbe und stuft das Update lediglich als "wichtig", nicht aber als "kritisch" ein. Letzteres sollte man erwarten, wenn ein paar Zeilen JavaScript-Code auf einer Web-Site alle Daten eines Surfers löschen können.

Der Entdecker des Exploits, Andreas Sandblad, meinte gegenüber c't, dass er bisher noch keine konkrete Analyse vornehmen konnte, aber anscheinend eines der Sicherheitslöcher, das er ausgenutzt hat, gestopft wurde. Dieses ermöglicht es einem externen Skript, im Kontext des lokalen Rechners zu agieren. Gibt es ein weiteres, ähnliches Cross-Site-Scripting-Problem, das nicht gefixt ist, könnte man statt dessen dieses verwenden und hätte insgesamt wieder den gleichen Effekt wie beim ursprünglichen Exploit.

Laut Greymagic fallen zwei der drei nicht gepatchten Lücken in genau diese Kategorie. Sollten sie Recht behalten, ist damit zu rechnen, dass bald eine modifizierte Version des Exploits auftaucht. Für Entwarnung ist es jedenfalls zu früh. Wer auf Nummer sicher gehen will, sollte trotz des Patches Active Scripting deaktiviert lassen (näheres dazu auch in der Meldung Surfen mit IE kann Festplatte formatieren).

Siehe zu der Verfügbarkeit des Patches und zu einer neu entdeckten Sicherheitslücke auch: (ju)

• Windows-Update: Kein Anschluss unter dieser Nummer
• Gefährliche Lücke in Windows