Code lässt sich über VBScript ausführen

Microsoft warnt vor Lücke im Internet Explorer

Microsoft hat ein Advisory zu einer neuen Lücke veröffentlicht. Das Problem ist, dass sich über VBScript möglicherweise Code ausführen lässt. Als Workaround rät der Konzern, dass Nutzer im IE nicht F1 drücken, wenn sie eine Website dazu auffordert.

Die Sicherheitslücke betrifft lediglich Windows-Installationen vor Windows Vista und Server 2008. Diese älteren Windows-Versionen, etwa XP oder Server 2003, enthalten einen Fehler in VBScript. Angreifer können diese Schwachstelle nutzen, um beispielsweise über den Internet Explorer Code auf dem attackierten System ausführen. Ein Angriff muss auf das Hilfssystem von Windows zugreifen können. Ein praktikabler Angriffsweg ist beispielsweise, dass eine manipulierte Website den Nutzer auffordert, die F1-Taste zu drücken. Anschließend kann die Software die Lücke in VBScript nutzen, um Anwendungen im Rechtekontext des aktuell angemeldeten Nutzers auszuführen.

Noch gibt es keinen Patch, der das Problem behebt. Microsoft nennt zwei verschiedene Workarounds. Zum einen sollen Nutzer auf keinen Fall F1 drücken, wenn sie eine Website dazu auffordert. Außerdem kann der Zugriff auf das Hilfesystem beschränkt werden. Der Befehl dazu lautet:

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

Dieser schaltet die Hilfe-Funktion von Windows aus. Über den Befehl:

echo Y | cacls "%windir%\winhlp32.exe" /E /R everyone

wird die Hilfsfunktion wieder aktiviert. Ein weiterer Workaround ist es, die Sicherheitszonen des Internet Explorers für Intranet und Internet auf „Hoch“ zu setzten. Dadurch werden allerdings alle Funktionen rund um ActiveX Controls und Active Scripting außer Kraft gesetzt. (mja)