Microsoft zieht Sammelpatch für IE vor

Microsoft hat eine Woche vor dem offiziellen Patch-Day am zweiten Mittwoch eines Monats einen Sammelpatch für Windows, genauer den Internet Explorer veröffentlicht.

Der Patch passt auf die Windows-Versionen von NT (Server), 2000 (Server), XP und Server 2003. Der Internet Explorer ab Version 5.01 ist betroffen. Windows 98 SE und ME werden über ein Update des Internet Explorer 6 SP1 ebenfalls unterstützt, teilte Microsoft mit. Microsoft macht hierbei eine Ausnahme von den sehr eingeschränkten und teils kostenpflichtigen Support-Angeboten für die betagteren Betriebssysteme. Die Lücken des Browsers sind Microsoft wohl zu gravierend. Offiziell lautet die Begründung, dass die Informationen zu den Sicherheitsproblemen bereits vor der Ankündigung des eingeschränkten Supports für Windows 98/ME publiziert wurden.

Der Sammelpatch enthält die bislang veröffentlichten Updates und repariert drei Sicherheitsprobleme. Die Anzeige gefälschter URLs im Browser, wir berichteten, hat Microsoft dabei mit der Holzhammermethode "repariert". Der Anzeigefehler des Browsers wird dadurch behoben, dass der Support für Benutzernamen und Passwörter in HTTP und HTTPS im Internet Explorer einfach abgeschaltet wird. URLs mit der Syntax "http(s)://username:password@server/resource.ext" werden also nach Angaben von Microsoft nach Einspielen des Patches nicht mehr unterstützt. Dabei handelt es sich bei der Funktion um einen anerkannten Internet-Standard.

Zum anderen wird nach knapp fünf Monaten endlich das fehlerhafte Cross-Domain-Security-Modell des Browsers geflickt, das bislang das Ausführen von Code erlaubt. Präparierte HTML-Dokumente wie Websites oder HTML-Mails können über die Lücke auf Ressourcen in der Lokalen Sicherheitszone zugreifen. Weitere Informationen dazu entnehmen Sie dem zugehörigen Security Report von tecCHANNEL.

Über die dritte Lücke lässt sich die Drag-and-drop-Funktion bei DHTML-Ereignissen manipulieren. Dadurch lädt der Benutzer eventuell eine Datei herunter, indem er einen vorbereiteten Link anklickt. Die heruntergeladene Datei wird zwar nicht direkt ausgeführt aber an beliebiger Stelle gespeichert. Der zugehörige Security Report enthält weitere Informationen. Den Patch erhalten Sie über das Windows-Update oder über die Links im Security Bulletin von Microsoft.

Alle bekannten Löcher im Microsoft Internet Explorer dichtet der aktuelle Patch jedoch beileibe nicht ab. Offen bleiben beispielsweise nach wie vor die gravierende Sicherheitslücke in der Funktion showHelp(), über die sich das System kompromittieren lässt, sowie die Schwachstelle bezüglich der gefälschten Dateitypen beim Download, die bei arglosen Usern zum selben Ergebnis führen kann.

Daher empfiehlt sich dringend, trotz des aktuellen Patches auch weiterhin dem immer noch löchrigen IE das Active Scripting generell zu untersagen und es nur für einzelne, vertrauenswürdige Sites gezielt zu aktivieren. Außerdem sollten Sie beim Anklicken von Links auf nicht genau bekannte Sites extreme Vorsicht walten lassen und Dateien nie direkt ausführen, sondern zuerst auf die Platte speichern.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba/jlu)