195022

Microsoft untersucht hochkritische IE-Lücke

05.11.2004 | 12:18 Uhr |

Microsoft untersucht derzeit laut eigenen Angaben mit Hochdruck die in dieser Woche bekannt gewordene Sicherheitslücke im Internet Explorer.

Microsoft hat sich jetzt zu der Mitte der Woche publik gewordenen Sicherheitslücke im Internet Explorer geäußert. Demnach überprüfen die Redmonder derzeit die Lücke.

Das Sicherheitsportal Securityfocus hatte die Informationen über Sicherheitslücke veröffentlicht und die Lücke als "hochkritisch" eingestuft, weil in Mailing-Listen die Lücke veröffentlicht worden sein soll und leicht reproduzierbar ist. Die Sicherheitsspezialisten von Secunia und des U.S: Computer Emergency Readiness Team (CERT) schlossen sich der Warnung an.

Ein Begrenzungsfehler in der Verarbeitung der <FRAME> und <IFRAME>-Tags führt dazu, dass überlange "SRC" und "NAME"-Attribute einen Buffer Overflow im Internet Explorer hervorrufen können. Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen Codes auf dem betroffenen System, was den Vollzugriff ermöglicht. Betroffen sind Windows XP bei installiertem Service Pack 1 und Windows 2000.

In seinem Statement widerspricht Microsoft den Sicherheitsexperten von Securityfocus. Bisher sei, so jedenfalls die Redmonder, kein Code gesichtet worden, der die Sicherheitslücke ausnutzt. "Wir wüssten von keinen aktiven Exploits der Sicherheitslücke", so Microsoft. Außerdem lägen auch noch keine Berichte vor, dass irgendein Windows-Anwender durch die Lücke geschädigt worden sei. "Aber wir untersuchen mit Hochdruck die Berichte über die Sicherheitslücke"; schreibt das Unternehmen weiter.

Nach Abschluss der Untersuchungen will Microsoft "angemessene Mittel" ergreifen, um Windows-Anwendern einen Schutz vor der Lücke zu bieten. Allerdings lässt Microsoft offen, ob der Patch an einem der monatlichen Patch-Days, der nächste ist Mitte nächster Woche, veröffentlicht wird oder außer der Reihe.

In der Zwischenzeit bleibt als einzige Empfehlung Windows XP mittels des Service Pack 2 auf den neuesten Stand zu bringen. Danach kann die Lücke nicht mehr greifen. Windows-2000-Anwendern hilft dieser Ratschlag natürlich herzlich wenig...

Hochkritische Sicherheitslücke im Internet Explorer (PC-WELT Online, 03.11.2004)

Erneut URL-Spoofing-Bug im Internet Explorer (PC-WELT Online, 02.11.2004)

0 Kommentare zu diesem Artikel
195022