Internet Explorer 6 hat grobe Lücken - trotz SP2

Der Internet Explorer 6 weist zwei schwer wiegende Lücken auf. Sie ermöglichen es Angreifern, das System zu kompromittieren, auf lokale Ressourcen zu verweisen und Security-Features von Microsoft Windows XP SP2 zu umgehen.

Die erste Lücke betrifft die Überprüfung von Drag-and-Drop-Aktionen der "Internet"-Zone zu lokalen Ressourcen. Der Fehler beruht laut Secunia auf der mangelhaften Prüfung von in Bilder- oder Media-Dateien eingebettetem HTML-Code. Ein Angreifer könnte die Lücke ausnutzen, um über eine präparierte Website beliebigen HTML-Code auf den Rechner des Users zu laden, der wiederum das Ausführen beliebigen Script-Codes in der Zone "Lokaler Computer" ermöglicht.

Die zweite Lücke hängt mit der unzureichenden Abgrenzung der Sicherheitszonen des Browsers im Zusammenhang mit dem HTML-Help-Control zusammen. Bindet ein Angreifer das Control in eine HTML-Seite ein und referenziert eine speziell vorbereitete Index-Datei (.hhk), kann er aufgrund des Fehlers in den Zonenbeschränkungen auch lokale HTML-Dokumente ausführen. Damit soll sich auch die Beschränkung "Lokaler Computer" des Windows XP SP2 umgehen lassen. Die Lücken sind laut Secunia auf einem gepatchten System mit Internet Explorer 6 und Windows XP SP2 nachgewiesen. Derzeit lautet die Lösung des Problems laut dem zugehörigen Secunia-Report: Deaktivieren Sie Active Scripting oder verwenden Sie ein anderes Produkt.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren (uba)