Sammel-Patch für IE schließt kritische Lücken

Bei einer der neu entdeckten Lücken versagt das Sicherheitsmodell des Browsers und erlaubt es einer Webseite, über Dialogboxen Informationen mit anderen Domains oder auch dem System auszutauschen. Letztlich könnte ein Angreifer so Code auf dem Rechner ausführen. Die zweite Lücke, die Microsoft mit dem Patch schließen muss, bringt die Funktion "showhelp" mit sich. Ein Angreifer kann die Funktion missbrauchen, um lokale Dateien anzeigen zu lassen. Auch dieses Problem entstammt dem fehlerhaften Cross-Domain-Check des Browsers. Der Internet Explorer wechselt beim Aufruf der Hilfefunktion mittels einer präparierten Webseite unbekümmert die Sicherheitszonen. Benutzer, die den Patch verwenden, müssen sich nach Angaben von Microsoft darüber im Klaren sein, dass einige Hilfe-Funktionen des Browsers damit nicht mehr funktionieren. Microsoft empfiehlt deshalb das Update der Help-Control über Windows-Update. Dort trägt das Hilfe-Update nach Angaben von Microsoft die Kennung "811630". Aber auch die neue Version der HTML-Hilfe bringt Einschränkungen mit sich, etwa die, dass die Shortcut-Funktion standardmäßig abgeschaltet wird.

In seiner Funktion als Sammel-Patch enthält das Sicherheitspaket alle zuvor veröffentlichten Fixes. Zu beachten sind die jeweiligen Voraussetzungen zum Einspielen auf unterschiedlichen Systemversionen. Microsoft hat neben dem Bulletin eine End-User-Seite veröffentlicht, die helfen soll, sich im "System-Service-Pack-Wirrwarr" zurechtzufinden. Als Beispiel mag dienen, dass Benutzer des IE 5.01 unter Windows 2000 sowohl für das Betriebssystem als auch für den Browser zuvor das jeweilige Service Pack 3 einspielen müssen, um den Patch verwenden zu können. Das Update der Hilfe-Funktion sollte dabei ebenfalls nicht vergessen werden. (uba)