Internet Explorer braucht "critical"-Patch

Microsoft hat einen Patch für den Internet Explorer 4/5 herausgebracht, der drei, zum Teil grobe, Sicherheitslücken schließt. Der Internet Explorer erlaubt bisher das Ausspähen von Festplatten über Frames, das Anzeigen von Passwörtern über Cookies und das Ausführen von Code über ActiveX.

Der Drei-auf-einen-Streich-Patch, den Microsoft zum Download (1,9 MByte) anbietet, ist als "critical" für jeden Anwender des Internet Explorer in den Versionen 4.0, 4.1, 5.0, 5.1 eingestuft. Die Dreier-Lösung selbst ist benutzerfreundlich, die Vorarbeiten sind es nicht: Um bei den Vierer-Versionen des Browsers zu funktionieren, erfordert der Patch das Service Pack 2 . Die Fünfer-Version muss auf 5.01 upgedatet werden. Anderenfalls erhält man beim Einspielen die Falschmeldung, dass das System dieses Update nicht benötigt und die Lücken bleiben. Die Versionskontrolle des Internet Explorers muss laut Microsoft "4.72.3612.1713" oder "5.0.2919.6307" anzeigen, damit der Patch funktioniert.

Ohne den Patch ist es feindlich gesinnten Webseiten möglich, über einen Fehler in der Domainverwaltung von Frames, Dateien von der Festplatte des Besuchers in einem Frame anzeigen zu lassen. Dafür muss zwar der Pfad bekannt sein, wer aber auf gut Glück Dateien im Verzeichnis C:\\Windows\\... sucht, dürfte bei vielen Benutzern fündig werden.

Die Cookie-Lücke kann man sich auf der Webseite von peacefire.org demonstrieren lassen, falls man über Cookies bei einigen Diensten und Seiten wie beispielsweise Hotmail registriert ist. Durch ein simples Verfälschen der URL lässt sich der Internet Explorer überlisten und zeigt in Cookies gespeicherte Informationen an, auch wenn man sich gar nicht auf der Webseite befindet, von der die Cookies stammen.

Für die Manipulation des PCs eines Besuchers über einen ungeprüften Puffer in der ActiveX-Steuerung müssen laut Microsoft mehrere Bedingungen gleichzeitig erfüllt sein. Dann aber kann Code ausgeführt werden, der ins System des Besuchers eingreift. Ein ständig aktualisierter Report von tecChannel liefert Informationen zu weiteren bekannten Lücken des Internet Explorer. (uba)