JPEG-Bilder schießen den Internet Explorer ab

Der Security-Experte Michal Zalewski hat Fehler im Microsoft-Browser Internet Explorer beim Umgang mit JPEG-Bildern entdeckt. Einer davon lässt sich nach Angaben von Zalewski von Hackern dazu missbrauchen, beliebigen Remote-Code auszuführen.

Der Experte hat vier Proof-of-Concept-Bilder ins Netz gestellt. Jedes davon kann den Internet Explorer abschießen, auch die neueste Version aus Windows XP mit installiertem Service Pack 2 (SP2). Einem Posting auf SecurtiyFocus zufolge könnten auch ältere Releases betroffen sein. Detaillierte Informationen finden Interessierte in den SecurityFocus-Fehlermeldungen 14282 und 14284.

Zalewski hat den Fehler (was Microsoft ärgern wird) nicht zuvor an den Redmonder Software-Konzern gemeldet, sondern sofort direkt öffentlich gemacht. "Nach meiner Erfahrung ist das Melden und Diskutieren von Sicherheitsproblemen mit Microsoft ein unnötig langer Prozess, der den Entdecker zu sehr belastet - speziell wenn es nur um einen Crash-Fall, nicht aber einen funktionierenden Exploit geht", schrieb Zalewski auf der Security-Site Neophasis. "Deswegen wurden sie nicht vorab informiert."

Ein Sprecher von Microsoft erklärte, man untersuche "neue öffentliche Meldungen" über mögliche Lecks im Internet Explorer, es seien aber diesbezüglich noch keine Angriffe bekannt geworden. Nach Abschluss der Untersuchung werde Microsoft die nötigen Maßnahmen ergreifen, um seine Kunden zu schützen. Man sei "besorgt, dass der Bericht nicht verantwortlich veröffentlicht wurde und möglicherweise Computernutzer Risiken aussetzt". (Thomas Cloer/uba)