Hochkritische Sicherheitslücke im Internet Explorer
Im Internet Explorer 6 ist ein neues Sicherheitsleck endeckt worden. Besonders kritisch ist die Lücke, da sie bereits in Mailing-Listen veröffentlicht wurde und leicht reproduzierbar ist.
Wie in der Mailing-Liste des Sicherhheitsportals Securityfocus berichtet wird, ist ein schwerwiegender Fehler im Internet Explorer 6 bekannt geworden. Das Leck ermöglicht Angreifern über manipulierte Web-Seiten vollen Systemzugriff, so unsere Schwesterpublikation Tecchannel.
Ein Begrenzungsfehler in der Verarbeitung der <FRAME> und <IFRAME>-Tags führt dazu, dass überlange "SRC" und "NAME"-Attribute einen Buffer Overflow im Internet Explorer hervorrufen können. Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen Codes auf dem betroffenen System, was den Vollzugriff ermöglicht.
Besonders kritisch ist die Lücke, da sie bereits in Mailing-Listen veröffentlicht wurde und leicht reproduzierbar ist. Es ist deshalb davon auszugehen, dass in Kürze diverse Webseiten diesen Exploit dazu benutzen werden, um böswilligen Code wie Trojaner und Dialer auf den Rechnern der Besucher zu platzieren. Die Frame-Unterstützung gehört zum Standardrepertoire des Internet Explorers und lässt sich nicht deaktivieren.
Bestätigt wurde der Bug für den Internet Explorer 6 auf voll gepatchten Windows-XP-Systemen mit Service Pack 1. XP-Systeme mit SP2 sind davon nicht betroffen. Windows-XP-Nutzern wird deshalb dringend empfohlen, Ihr System mit Service Pack 2 zu patchen oder einen anderen Browser wie etwa Firefox zu verwenden. Windows 2000 ist laut zugehörigem Security Report von Secunia ebenfalls betroffen. Für Benutzer dieses Betriebssystems gibt es anders als für XP-User derzeit keine Möglichkeit, die Lücke per Patch zu schließen.
