Gefährliche Windows-Lücke bedroht alle IE-Nutzer

Microsoft hat eine neue Sicherheitsempfehlung veröffentlicht, in der vor einer neuen Sicherheitslücke in Windows gewarnt wird. Das Microsoft Security Advisory 2501696 trägt den Titel "Schwachstelle in MHTML könnte Informationen preisgeben". Derzeit untersucht Microsoft Berichte über diese Lücke, von der alle Windows-Versionen inklusive Windows 7 32- und 64-Bit betroffen sind.

Die Sicherheitslücke, so heißt es, könne es einem Angreifer gestatten, ein bösartiges Script ablaufen zu lassen, sobald der Anwender eine entsprechend präparierte Website besucht. In der Folge könnte der Angreifer an Informationen über den Anwender gelangen. Die Auswirkungen seien ähnlich wie bei einer Server-seitigen Cross-Site-Script-Schwachstelle. Auch ein Proof-Of-Concept-Code kursiert laut Angaben von Microsoft bereits im Internet. Bisher sei allerdings noch nicht bekannt, dass die Schwachstelle von Angreifern auch in der Realität ausgenutzt werde. Das könnte sich aber seit Veröffentlichung der Sicherheitsempfehlung mittlerweile geändert haben.

Die Schwachstelle steckt laut Microsoft in der Art und Weise, wie MHTML Anfragen interpretiert, die im MIME-Format vorliegen. Unter bestimmten Umständen sei ein Angreifer in der Lage, ein Script in die Antwort auf eine Web-Anfrage zu schmuggeln, das dann auf dem Rechner des Opfers ausgeführt wird.

Microsoft will im Rahmen der Untersuchung klären, ob ein Sicherheitsupdate erforderlich ist und wann dieses ausgeliefert werden soll. Das ein Sicherheitsupdate erscheinen wird, dürfte unstrittig sein. Letztendlich stellt sich die Frage, ob dieses Sicherheitsupdate noch zum Patch-Day im Februar veröffentlicht wird, der für den 8./9. Februar geplant ist.

Derweil gibt Microsoft diverse Ratschläge, wie man sich vor der Sicherheitslücke schützen kann. Ein Vorschlag lautet, einen "Lockdown" des MHTML-Protokolls durchzuführen. Das kann wahlweise per Eingriff in die Registry oder per Microsoft Fix-It Tool 2501969 geschehen. Alternativ empfiehlt Microsoft die Sicherheitszone für Internet und lokales Intranet auf "Hoch" zu stellen, um so das Ausführen von ActiveX Controls und Active Scripting zu blockieren (siehe auch Wichtige Sicherheitseinstellungen im Internet Explorer)

Berichte über die neue Windows-Sicherheitslücke waren Ende letzter Woche erstmalig auf einer chinesischen Website aufgetaucht. Hier wurde auch ein Proof-of-Concept-Code veröffentlicht, mit dem die Wirksamkeit der Sicherheitslücke belegt wird. Von der Sicherheitslücke sind insbesondere Internet-Explorer-Anwender betroffen. Firefox und Chrome unterstützen in ihren Standardeinstellungen MSHTML nicht, sondern erst nach der Installation von Add-On-Modulen. (PC Welt/mje)