Zum zweiten Mal in dieser Woche haben Hacker eine noch unbekannte Sicherheitslücke im Microsoft Internet Explorer entdeckt. Über diese Schwachstelle könnten Unberechtigte Zugriff auf Windows-PCs erhalten.
Obwohl theoretisch klar ist, wie diese Sicherheitslücke dafür ausgenutzt werden kann, sind zuvor einige Hürden zu überwinden. So müsste ein potentieller Angreifer den unbedarften Websurfer erst dazu animieren, eine bestimmte Webseite anzusteuern und ihn überzeugen, bestimmte Tätigkeiten auf dieser Webseite auszuführen, etwa einen genau definierten Text in einem speziellen Feld zu platzieren. Erst danach könnte der Eindringling seinen schädlichen Code auf dem angegriffenen PC ablaufen lassen.
Außerdem betrifft die jüngste Sicherheitslücke nicht die aktuellen Windows-Versionen, wie Server 2003, berichtet der Security-Spezialist FrSIRT. Deswegen ist es laut Microsoft nicht nötig, diesen Bug zu fixen. "Die Schwachstelle kann nicht dazu genutzt werden, schädlichen Code auf dem System des Users auszuführen, ohne in zu zwingen, mehrere völlig untypische Aktionen in seinem Webbrowser durchzuführen", sagt Microsoft. Deswegen wird diese Sicherheitslücke erst im Rahmen des nächsten Servic-Packs geschlossen, und nicht durch ein spezielles Patch.
Diejenigen, die nicht bis zum nächsten Service-Pack warten wollen, können die erwähnte Sicherheitslücke schließen, indem sie die Sicherheitseinstellungen des eigenen Browsers so ändern, dass er nicht mehr nach aktive Eingaben verlangt. Dieser Tipp kommt von Matthew Murphy, dem Entdecker des Bugs. the researcher who discovered the bug. " Allerdings könnte dies dazu führen, dass der Internet Explorer Webseiten mit ActiveX-Controls nicht mehr korrekt anzeigt.
Der Microsoft-Webbrowser bleibt weiterhin in der Schusslinie der Hacker. Das letzte Security-Update lieferte der Hersteller erst am 11. April 2006 aus. Vergangenen Sonntag berichtete Security-Spezialist Michael Zalewski über einen weitere kritische Sicherheitslücke im Internet Explorer. Microsoft war bisher noch nicht in der Lage, diesen Bug zu kommentieren. (rw)