Neue Sicherheitslücke im Internet Explorer entdeckt

Entdeckt wurde die Schwachstelle von Matthew Murphy, der die Sicherheitslücke auch schon mit dem Sicherheits-Team von Microsoft diskutiert hat. Trotz einiger neu eingeführter Sicherheitsschranken im Internet Explorer (IE) kann ein Angreifer schädliche Programme einschleusen, wenn er es schafft, Besucher einer präparierten Webseite dazu zu bringen, innerhalb eines engen Zeitrahmens ein Objekt von einem Fenster in ein anderes zu ziehen.

In einer ersten Stellungnahme im Weblog des Microsoft Sicherheits-Teams heißt es dazu, die Ausnutzung dieser Anfälligkeit sei nur unter sehr speziellen Bedingungen möglich. Anwender müssten es dazu erstmal schaffen, ein Objekt zwischen zwei ständig den Fokus wechselnden Fenstern zu verschieben. Daher werde Microsoft den Fehler im Verhalten des IE voraussichtlich erst mit einem zukünftigen Service Pack beheben.

Es bleibt abzuwarten, ob Microsoft diese Einschätzung aufrechterhalten kann. Bislang sind noch keine Websites entdeckt worden, die diese Schwachstelle ausnutzen, über die Microsoft bereits seit Anfang August 2005 informiert ist. Betroffen sind die Versionen 5 und 6 des IE auf allen Windows-Plattformen von Windows 98 bis XP. Service Packs wird es jedoch für die älteren Windows-Versionen nicht mehr geben.

Matthew Murphy schlägt drei alternative Maßnahmen vor, mit denen sich Anwender vor der Ausnutzung dieser Anfälligkeit schützen können. Sie können die schon mehrfach bewährte Kill-Bit-Methode einsetzen, durch die das ActiveX-Element "Shell.Explorer" deaktiviert wird. Ferner können Sie Active Scripting ganz ausschalten, wodurch allerdings verschiedene Websites nur noch eingeschränkt benutzbar sind. Wenn Sie Windows XP mit Service Pack 2 installiert haben, können Sie in den Sicherheitseinstellungen des IE den Zugriff auf die Lokale Zone von anderen Sicherheitszonen aus deaktivieren. (PC-Welt/mja)