Neue Lücke in IE und Outlook

Das auf Sicherheit spezialisierte Unternehmen PivX hat eigenen Angaben zufolge eine Sicherheitslücke im Internet Explorer/Outlook entdeckt. Die Lücke beruht nach Angaben von PivX auf dem bereits mehrfach in Verruf geratenen Cross-Domain-Scripting.

PivX ist es nach eigenen Angaben gelungen, die Lücke im Internet Explorer 5.5 unter Windows 98 und Windows NT sowie mit dem IE 6 unter Windows 2000 nachzuweisen. PivX hat ein ausführliches Advisory zu der Lücke veröffentlicht.

Demnach lassen sich über das in HTML4 enthaltene Object-Element unkontrollierte Programmaufrufe starten. Scheinbar lässt sich dabei die vorhandene Kontrolle überlisten, weil die Objekt-Eigenschaften nicht durch den üblichen Cross-Domain-Security-Check geprüft werden. Microsoft sei informiert, habe bislang aber nicht reagiert, rechtfertigt PivX die Veröffentlichung der Lücke ohne Patch von Microsoft. Als vorläufiges Hilfsmittel gilt das Abschalten von ActiveX. Zusätzliche Informationen finden Sie im Report Aktuelle IE-Sicherheitslücken. (uba)