IE 6.0 SP2: „Höchst kritische” Sicherheitslücke

Microsofts Internet Explorer ermöglicht laut Angaben von Secunia aufgrund einer „höchst kritischen“ Sicherheitslücke die Kompromittierung des Computer-Systems, d.h. es können beliebig Daten manipuliert und an Dritte weitergegeben werden. Möglich wird dies durch eine Kombination diverser, nicht behobener Sicherheitslücken.

Mit Hilfe eines in eine Website eingebetteten ActiveX-Objekts namens „HTML Help Control“, welches normalerweise zur Anzeige von Hilfe-Funktionen mit Indexerstellung und Suchfunktionen dient, ist es möglich, beliebige Dateien auf dem Computer des Anwenders auszuführen. In Kombination mit der Tatsache, dass mit Hilfe des „ActiveX Data Object“ Dateien beliebigen Inhalts auf dem Windows-Computer abgelegt werden können, kann ein Angreifer beliebigen Code im Sicherheitskontext der lokalen Zone ausführen. Angeblich greifen an dieser Stelle auch die zusätzlichen Schutzmechanismen des Service Pack 2 für Windows XP nicht.

Secunia stuft diese Sicherheitslücke aufgrund dessen als „höchst kritisch“ ein und empfiehlt, entweder „Active Scripting“ in den Einstellungen des Internet Explorers (Registerkarte „Sicherheit“ auswählen und dort auf „Stufe anpassen“ klicken) zu deaktivieren oder zu anderen Browsern, welche jedoch, wie sich heute herausstellte, allesamt gemeinsame, wenn auch weniger kritische, Sicherheitslücken aufzuweisen haben, zu greifen. Letzteres wohl angesichts der Tatsache, dass eigenen Statistiken zu Folge derzeit 16 von 63 sicherheitsrelevanten Problemen im Internet Explorer nicht behoben sind. Weitere Informationen finden sich im Security Advisory.