Wieder Sicherheitslücke im Internet Explorer

Anfang der Woche hat Michael Zalewski, der auch schon Mitte März dieses Jahres eine Sicherheitslücke im Internet Explorer gefunden hat, eine weitere Methode gefunden, um den Internet Explorer zum Absturz zu bringen. Wie sich nun herausstellte, lässt sich dadurch beliebiger Code beim Besuch einer Website ausführen.

Michael Zalewski hatte zunächst keinen Beweis veröffentlicht, dass sich das geschickte Verschachteln von HTML-Object-Tags zum Ausführen von Code verwenden lässt. Der Sicherheitsdienstleister Secunia hat nun jedoch in einer E-Mail an die Mailingliste Full Disclosure behauptet, einen solchen Exploit gefunden zu haben und stuft die Sicherheitslücke als „höchst kritisch“ ein. Microsoft sei am vergangenen Mittwoch darüber informiert worden, weitergehende Details wolle man zunächst nicht veröffentlichen. Dass Dritte nun verstärkt nach Möglichkeiten zum Ausnutzen dieses Problems suchen werden, ist jedoch sehr wahrscheinlich.

Auch in Firefox 1.5.0.2 ist seit Dienstag eine Sicherheitslücke bekannt, für die noch kein Patch bereitsteht. Diese wird von Secunia als „nicht kritisch“ eingestuft und gilt als schwer ausnutzbar, jedoch hat sich eine solche Einschätzung nicht selten als falsch herausgestellt. Opera weist aktuell keine bekannte Sicherheitslücke auf.