IE-Update schließt kritische IFRAME-Lücke

Microsoft hat außer der Reihe ein kumulatives Sicherheits-Update für den Internet Explorer veröffentlicht. Das Update schließt die hochkritische IFRAME-Lücke.

Wie berichtet, ermöglicht die IFRAME-Lücke externe Angriffe über HTML-Seiten mit präparierten IFRAME-Tags. Das Problem ist seit Anfang November bekannt. Es existieren dafür Exploits, die bereits für Angriffe via Ad-Server ausgenutzt wurden. Betroffen davon war unter anderem die britische News-Seite The Register. Auch der Wurm MyDoom.AH hat die Fähigkeit, die IFRAME-Lücke zu nutzen.

Benutzer von Windows XP mit installiertem Service Pack 2 sind vor der Lücke sicher. Auch Windows Server 2003 und dessen 64-Bit-Ausgaben weisen die Lücke nicht auf. Für alle anderen Windows-Versionen, die den Internet Explorer 6 verwenden, sollten nach Meinung von Microsoft unbedingt die entsprechenden Patches installiert werden. Der kumulative Patch lässt sich auch über das Windows-Update installieren.

Detaillierte Informationen zu den betroffenen Software-Versionen und den jeweiligen Patches entnehmen Sie dem zugehörigen Bulletin MS 04-040. Microsoft verweist Benutzer, die unter Umständen seit Bulletin MS-04-038 Hotfixes ihrer Support-Anbieter installiert haben, auf die Installation des ebenfalls neuen Internet Explorer Rollup 889669. Es ist allerdings aus den Bulletins nicht ersichtlich, für welche Installationen dies gelten soll. Das Update überschreibt laut Microsoft prinzipiell einige Dateien, sind die zuvor durch Hotfixes geändert worden, ist diese Änderung hinfällig.

Vereinfachte Informationen zum Patch für Benutzer des Windows-Updates hat Microsoft auf dieser Seite veröffentlicht. Bekannte Einschränkungen und Probleme mit dem Update hat Microsoft hier zusammengefasst. Zusätzliche Informationen zum Thema Sicherheit entnehmen Sie den Reports Windows 2000: Neue Bugs und Fixes und Windows XP Bugs und Fixes. (uba)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.