Microsoft gibt Sicherheitsmeldung zur IE-Lücke heraus

Eine kürzlich veröffentlichte Sicherheitslücke im Internet Explorer 6 und 7 kann das Einschleusen von beliebigem Code sowie dessen Ausführung ermöglichen. Beispiel-Code, die die Ausnutzung dieser Schwachstelle demonstriert, ist öffentlich verfügbar. Microsoft hat die Sicherheitslücke inzwischen eingeräumt und eine Sicherheitsmeldung heraus gegeben, die auch Hinweise zur Risikominderung enthält.

Laut Microsofts Sicherheitsmeldung 977981 sind der Internet Explorer 5.01 (Windows 2000) und der Internet Explorer 8 unter allen unterstützten Windows-Versionen (ab XP SP2) nicht anfällig. Betroffen sind also die IE-Versionen 6 und 7 unter allen Windows-Versionen, auf denen sie eingesetzt werden können. Mithin ist Windows 7 nicht gefährdet, da es bereits mit dem IE 8 ausgeliefert wird.

Der Fehler steckt im HTML-Modul des IE und kann von einem Angreifer ausgenutzt werden, der eine speziell präparierte Web-Seite bereit stellt und potenzielle Opfer dorthin lockt. Nutzer anfälliger IE-Versionen können sich schützen, indem sie die Sicherheitsstufe für die Internet-Zone auf "hoch" setzen. Sie können auch die Sicherheitsstufe manuell anpassen und die Ausführung von Active Scripting ausschalten oder auf "Eingabeaufforderung" setzen.