Demo-Exploit für neue Sicherheitslücke im Internet Explorer veröffentlicht
Der Internet Explorer ist immer wieder Gegenstand von Meldungen über so genannte "Zero-Day-Exploits" (oder auch "0Day-Exploits"). Eine Gruppe namens "Xsec" aus China hat eine Sicherheitslücke in einem ActiveX-Steuerelement veröffentlicht, in dem bereits vor zwei Wochen eine ähnliche Schwachstelle entdeckt wurde.
Der entdeckte Fehler liegt in der ActiveX-Komponente "daxctle.ocx" (DirectAnimation.PathControl), verantwortlich für die Darstellung multimedialer Inhalte. Laut einer Meldung des Sicherheitsportals FR-SIRT sind alle Varianten des Internet Explorer 6 betroffen, von Windows 98 über XP SP2 bis zum Windows Server 2003.
Der Sicherheitsforscher HD Moore, Leiter des Metasploit Projekts meint dazu, diese Lücke habe er mit seinem Tool "Axman" bereits vor einiger Zeit entdeckt. Er habe sie jedoch nicht in seinem Blog Browser Fun veröffentlicht, weil er sie für gefährlich halte. In dieser Preisklasse habe er noch mehrere weitere IE-Schwachstellen in der Schublade, die er zwar an Microsoft gemeldet, jedoch nicht veröffentlicht habe.
Von Microsoft gibt es dazu bereits eine Sicherheitsempfehlung, jedoch noch kein Update, das die Lücke schließen würde. Als Workaround rät Microsoft die Ausführung dieser ActiveX-Komponente im IE durch Setzen des Killbits zu deaktivieren. Als Alternative schlägt Microsoft vor, die Ausführung von ActiveX und Active Scripting in der lokalen und der Internet-Zone auf "Eingabeaufforderung" zu setzen oder ganz zu deaktivieren.
