Sammel-Patch für Internet Explorer

Für Microsofts Internet Explorer ist wieder einmal ein Sammel-Patch im Angebot. Neben einer Cross-Domain-Lücke soll der Patch alle bislang von Microsoft anerkannten Lücken im Browser der Versionen 5.5 und 6 schließen. Das auf Sicherheits-Services spezialisierte Unternehmen Secunia widerspricht, der Patch beseitige das Cross-Domain-Problem nicht.

Die von Microsoft als neu bezeichnete Cross-Domain-Lücke ist für Secunia so neu nicht. Microsoft ist laut Secunia schon vor Monaten auf das Sicherheitsproblem aufmerksam gemacht worden. Auch tecCHANNEL hatte über die Lücke berichtet. Der jetzt veröffentlichte Patch hat nach Erkenntnissen von Secunia zumindest unter einem mit allen verfügbaren Updates versehenen Windows XP nicht die gewünschte Wirkung.

Nutzt ein Angreifer die Lücke aus, kann er mit einer präparierten Webseite oder einer HTML-Mail die eigentlich dafür vorgesehene Sicherheitszone verlassen, Benutzerdaten ausspähen und sogar Programme starten. Das Cross-Domain-Security-Modell, das solche Übergriffe eigentlich verhindern sollte, lässt sich durch einen Fehler im Object Caching überlisten.

Secunia glaubt einen Workaround gefunden zu haben, der wie so oft darin besteht, Active Scripting zu deaktivieren. Microsoft versichert gleichfalls, mit dem Sammel-Patch Abhilfe zu schaffen. Bulletin MS02-068 und Links zum Microsoft-Patch finden Sie hier. Der Internet Explorer 5.1 ist laut Microsoft für die Lücke nicht anfällig. (uba)