Sammelpatch gegen neue Lücken im Internet Explorer

Ein Sammelpatch für den Internet Explorer 5.01, 5.5 und 6.0 soll zwei neue, kritische Sicherheitslücken stopfen. Beide Lücken ermöglichen Angreifern das Ausführen von beliebigem Code. Die erste Sicherheitslücke steckt im "Cross Domain Security Model". Ein Angreifer kann eine speziell präparierte Webseite erstellen, die Dialog-Boxen missbraucht, um vorhandenen Code auf dem Rechner des Opfers auszuführen. Im schlimmsten Fall kann der Angreifer laut Microsoft auch beliebigen Code ausführen.

Die zweite Lücke steckt in der showHelp()-Funktion des Internet Explorer und kann auf die gleiche Weise ausgenutzt werden: Über eine entsprechend manipulierte Webseite kann auch hier beliebiger Code auf dem Rechner des Opfers ausgeführt werden.

Microsoft beschreibt die Sicherheitslücken im Security Bulletin MS03-004 und stellt darüber auch den Sammelpatch zur Verfügung. Die Bugfixes sollen laut Microsoft auch über windowsupdate.com erhältlich sein, jedoch funktioniert das Einspielen dieser Patches über den automatischen Update-Service momentan nicht: Zwar zeigt windowsupdate.com die entsprechenden Patches an, jedoch bricht das Einspielen dieser mit verschiedenen Fehlermeldungen ab. Das Fehlverhalten haben wir unter Windows 98 SE (IE 6.01), Windows 2000 mit Service Pack 3 sowie Windows XP mit Service Pack 1 reproduzieren können. Bis Microsoft das Problem im Griff hat, empfehlen wir, die Patches manuell einzuspielen. (pab)