Zwei Jahre alte Lücke im IE ist wieder da

Scheinbar ist das Problem durch einen der zahlreichen Patches für den IE seit der ersten Entdeckung wieder akut geworden. Angreifer können die Lücke nutzen, um Zugang zu sensitiven Informationen zu erhalten.

Das Sicherheitsleck beruht auf unzureichenden Cross-Site-Beschränkungen, die in einigen Fällen bei der Verarbeitung von XML-Dateien auftritt. Entdeckt hat die Lücke vor zwei Jahren Greymagic. Mittels der Lücke lassen sich XML-Dokumente eines beliebigen Servers im Browser eines Nutzers laden. Die Lösung des Problems lautet derzeit: Deaktivieren Sie die Unterstützung von Active Scripting.

Wieder entdeckt hat das Problem der bulgarische Bug-Jäger Georgi Guninski, der sich bereits durch die Beschreibung zahlreicher Lücken in Microsoft-Programmen hervorgetan hat. Auf einer Webseite hat Guninski die Lücke näher beschrieben und stellt auch einen Test zur Lücke zur Verfügung. Das Problem betrifft laut Guninski den gepatchten Internet Explorer 5.01 bis Version 6. Guniski konnte den Fehler unter Windows 2000 und XP reproduzieren.

Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)