Microsoft: Sicherheitspatch für IE
Wie berichtet, konnten Angreifer wegen der Lücke über eine speziell gestaltete URL auf dem PC des Anwenders gespeicherte Cookies auslesen und deren Inhalt verändern. Normalerweise ist das nur den Websites gestattet, die auch die Cookies gesetzt haben. Diese "Datenkrümel" können durchaus sensible Informationen enthalten, was umso brisanter ist, wenn die Daten im Klartext abgelegt werden. Auf diese Weise fallen Hackern beispielsweise User-IDs, Passwörter oder Kreditkartennummern in die Hände.
Die Lücke öffnet sich ebenfalls über HTML-formatierte Mails, die der User mit Outlook (Express) aufruft. Als Maßnahme empfahl Microsoft, in den Sicherheitseinstellungen des Internet Explorer Active Scripting zu deaktivieren. Mit dem jetzt verfügbaren Patch ist dies nicht mehr notwendig. Laut Microsoft handelt es sich um einen Sammel-Patch, mit dem auch ältere Sicherheitsgefahren der jeweiligen Version beseitigt werden sollen. Nähere Informationen dazu sowie den Link zum Download finden sie im Sicherheitsbulletin MS01-055.
Der Patch löst zudem das Problem des IE beim Umgang mit punktlosen IP-Adressen, zum Beispiel 111111111 statt 111.111.11.11. In bestimmten Fällen könne es sein, dass der IE die Seite statt in der vorgesehenen Internet-Zone in der Intranet-Zone öffnet. Und dort gelten in der Regel niedrigere Sicherheitseinstellungen. Der IE 6.0 ist laut Microsoft davon allerdings nicht betroffen. Wie berichtet, hatte das Unternehmen dazu bereits vor wenigen Tagen einen eigenen Patch veröffentlicht. Microsoft weist aber im aktuellen Bulletin (siehe oben) nochmals ausdrücklich auf dieses Problem hin. (jma)