IE braucht Patch für VB-Script

Im Internet Explorer steckt eine Sicherheitslücke im Umgang mit VB-Scripts, die dem Frame-Domain-Verification-Problem ähnelt. Ein Angreifer kann damit über eine präparierte Webseite oder eine HTML-Mail lokale Daten auslesen. Ein Patch steht bereit.

Im Sinne des Erfinders sollte das Sicherheitsmodell des Internet Explorers verhindern, dass per VB-Script in den Frames einer Webseite Inhalte von unterschiedlichen Domains angezeigt werden. Das Cross-Domain-Security-Modell des IE funktioniert im Zusammenspiel mit VB-Scripts anscheinend aber nicht. Ein Angreifer kann laut Microsoft eine Webseite oder auch eine HTML-Mail mit einem Script präparieren und sich so den Inhalt von anderen Browser-Fenstern, die der Benutzer geöffnet hat, anzeigen lassen. Damit landen möglicherweise Kreditkartendaten und Passwörter in falschen Händen, die der Benutzer im Browser eingibt. Letztlich lassen sich alle Dateien des lokalen Systems anzeigen, die der Internet Explorer darstellen kann. Voraussetzung dafür wäre, dass der Pfad bekannt ist. Der Internet Explorer ab Version 5.01 (SP2) bis hin zum neuesten Modell 6 bringt die Lücke mit. Ältere Browser-Versionen hat Microsoft aus seiner Supportliste gestrichen. Microsofts Security Bulletin MS02-009 nennt weitere Details zum Problem und hat den Patch verlinkt.

Die Lücke funktioniert ähnlich wie der bereits bekannte Frame-Domain-Verification-Bug, nur steckt der Ursprung dieses Mal im Umgang mit VB-Scripts. Mit Java Script lässt sich die neue Lücke nach Erkenntnissen von Microsoft nicht nutzen. Dieses und weitere Probleme finden Sie im Report Aktuelle IE-Sicherheitslücken. (uba)