MS schließt IE-Löcher mit Critical Patch

Mit einem kumulativen Patch hat Microsoft sechs neue Sicherheitslücken im Internet Explorer geschlossen. Außerdem soll der Super-Patch auch alle bisher bekannten Bugs im Browser beheben: Die Document.open-Lücke, die den MSN Messenger betrifft, inbegriffen.

Microsofts dringende Empfehlung für alle Benutzer des Internet Explorer 5 und 6 lautet: Patch installieren. Voraussetzung ist eine Version von IE 6, IE 5.5 SP2, IE 5.5 SP1 oder IE 5.01 SP2 (Letzteres wird nur von Windows 2000 unterstützt). Die im Patch enthaltenen Problemlösungen will Microsoft später auch ins Service Pack 1 des IE6 und ins Service Pack 3 für Windows 2000 aufnehmen. Neben den bislang veröffentlichten Patches enthält das General-Update auch Lösungen für sechs neuere Probleme.

Unter den von Microsoft geflickten Löchern ist das Document.open-Problem, mit dem sich zum Beispiel der MSN Messenger übernehmen ließ, wir berichteten. Die Entdecker der Lücke merken auf ihren Webseiten zynisch an, dass Microsoft "nur 54 Tage" gebraucht habe, um das Problem zu beseitigen.

Der "Cumulative-Patch" behebt außerdem die so genannte GetObject-Lücke, die Bugjäger Georgi Guninski (wieder) entdeckt hat. Über die Lücke lässt sich eine URL konstruieren, über die lokal gespeicherte Daten ausgelesen werden können, wir berichteten.

Zudem bietet Microsoft mit dem Patch Abhilfe gegen einen Bug im Download-Manager des IE. Mit einem präparierten HTML-Header war es Angreifern unter Umständen möglich, die Dateiendung des Downloads falsch darzustellen, was Benutzer dazu verführen konnte, scheinbar sichere Dateien herunterzuladen. Mit der Manipulation des HTML-Headers ist ein weiteres Risiko verknüpft. Der IE ließ sich mittels Header-Manipulation beim Öffnen von Dateien auf Webseiten dazu bewegen, Applikationen einzusetzen, die dafür nicht registriert sind. Damit konnten auch als unsicher eingestufte Dateien ohne Widerspruch geöffnet und ausgeführt werden.

Der Patch findet als Update-Version Q316059 Eingang in den Internet Explorer. Unter NT 4.0 mit IE 6 klappte die Installation problemlos.

Dass der Internet Explorer sich nach dem ersten Rendern von Webseiten nicht mehr richtig um die Einhaltung der Sicherheit gekümmert hat, soll mit dem Patch ebenfalls der Vergangenheit angehören. Bislang sei es einem Angreifer möglich gewesen, ein Script nachzuladen, selbst wenn der Internet Explorer von Benutzerseite her keine Scripts ausführen sollte. Der IE ließ es - ohne Patch - einfach beim ersten Sicherheitscheck bewenden.

Den Download des 2,4 MByte großen Patches - auch in deutscher Sprache - finden Sie hier bei Microsoft. Zu beachten sind die Systemvoraussetzungen, sprich das vorherige Einspielen der nötigen Service Packs. Im zugehörigen Security Bulletin MS02-005 finden Sie zusätzliche Beschreibungen der Lücken und Links zu Knowledgebase-Artikeln. Einen Überblick über die Lücken im Internet Explorer lesen Sie hier. (uba)