Ungepatchte Internet Explorer Sicherheitslücke

Wie der Heise Newsticker meldet, gehen derzeit im unter anderem im IRC Links umher, welche nach dem Anklicken ohne jegliche weitere Nachfrage oder Warnung ein trojanisches Pferd installieren. Einen Patch für diese seit Anfang September bekannte Sicherheitlücke hat Microsoft bis heute nicht bereit gestellt.

Benutzer von Windows XP haben die Möglichkeit, sich dieses eklatante Sicherheitsloch eindrucksvoll demonstrieren zu lassen, welches unter anderem einen Fehler in dem ActiveX Objekt ADODB.Stream ausnutzt. Mit diesem kann man Dateien auf die Festplatte schreiben und dann auch ausführen. Da dies eigentlich nur in der mit restriktiveren Sicherheits-Einstellungen versehen lokalen Zone möglich ist, wird eine weitere nicht behobene Sicherheitslücke ausgenutzt, nämlich das Anzeigen einer Fehler-Seite, welche der Internet Explorer als lokale Zone betrachtet und in die man dann JavaScript-Code einschleust.

Abhilfe schafft lediglich das Deaktivieren von Active Scripting oder der Einsatz eines alternativen Browsers, wozu man angesichts der Tatsache, dass Microsoft scheinbar nur halbherzig um die Sicherheit des Internet Explorers bemüht ist und dass man eine solche Infektion bisher ausschließlich durch eine komplette Neuinstallation des Betriebssystems beheben kann, eher raten muss. Zudem stehen mit Mozilla Firebird und Opera mittlerweile zwei mindestens gleichwertige und was deren Sicherheitsgeschichte angeht eindeutig weniger anfällige Alternativen bereit.