Auf einer Sicherheits-Mailing-Liste berichtet ein polnischer Teilnehmer, der sich “porkythepig” nennt, über eine Schwachstelle im Internet Explorer (IE). Nach seinen Angaben kann der IE durch Script-Aufrufe aus Flash-Objekten zum Absturz gebracht werden. Ob sich diese Schwachstelle zum Einschleusen von Code eignet, habe er nicht getestet.
Das Problem soll demnach in Flash-Objekten liegen, die ein Visual-Basic-Script (VB-Script) aufrufen, das wiederum eine Jscript-Routine (Microsoft-Variante von Javascript) startet. Diese enthält Anweisungen, um Text in die geladene HTML-Datei zu schreiben.
Die Script-Sprache Action-Script in Macromedias Flash Plug-in für den Internet Explorer ermöglicht die Steuerung von Flash-Animationen und kann weitere Scripte starten. Nach dem Aufruf der Jscript-Routine führt ein Zeiger ins Leere, verursacht eine Schutzverletzung beim Speicherzugriff und damit den Absturz des Internet Explorers.
Betroffen sollen nicht nur Windows XP mit Service Pack 2 und dessen 64-Bit-Version sein sondern auch Windows 2000 sowie Windows 98. Das lässt vermuten, dass jede Windows-Version mit einem halbwegs aktuellen Internet Explorer anfällig ist. Ob sich dieser Absturz allerdings zum Einschleusen und Ausführen von schädlichem Code eignet, muss noch untersucht werden. Ein Kommentar von Microsoft steht ebenfalls noch aus.
Schutz vor möglichen Sicherheitslücken dieser und ähnlicher Art kann das Ausschalten von Active Scripting in den Sicherheitseinstellungen des Internet Explorers bieten. Mangels Unterstützung von VB-Script sind andere Browser wie Firefox oder Opera nicht betroffen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.