Sammel-Patch für Internet Explorer
Die von Microsoft als neu bezeichnete Cross-Domain-Lücke ist für Secunia so neu nicht. Microsoft ist laut Secunia schon vor Monaten auf das Sicherheitsproblem aufmerksam gemacht worden. Auch tecCHANNEL hatte über die Lücke berichtet. Der jetzt veröffentlichte Patch hat nach Erkenntnissen von Secunia zumindest unter einem mit allen verfügbaren Updates versehenen Windows XP nicht die gewünschte Wirkung.
Nutzt ein Angreifer die Lücke aus, kann er mit einer präparierten Webseite oder einer HTML-Mail die eigentlich dafür vorgesehene Sicherheitszone verlassen, Benutzerdaten ausspähen und sogar Programme starten. Das Cross-Domain-Security-Modell, das solche Übergriffe eigentlich verhindern sollte, lässt sich durch einen Fehler im Object Caching überlisten.
Secunia glaubt einen Workaround gefunden zu haben, der wie so oft darin besteht, Active Scripting zu deaktivieren. Microsoft versichert gleichfalls, mit dem Sammel-Patch Abhilfe zu schaffen. Bulletin MS02-068 und Links zum Microsoft-Patch finden Sie hier. Der Internet Explorer 5.1 ist laut Microsoft für die Lücke nicht anfällig. (uba)