Microsoft: Fehler im Internet Explorer doch ‚kritisch‘

Vermutlich aus Angst vor schlechter Presse hat Microsoft ein am vergangenen Freitag veröffentlichtes Sicherheitsloch im Browser Internet Explorer anfangs heruntergespielt und als nur „moderat“ gefährlich eingestuft.

Neue Erkenntnisse und ein Kommentar eines Sicherheitsberaters auf dem Security-Board Bugtraq hätten jedoch dazu geführt, dass man jetzt den Fehler in den IE Versionen 5.5 und 6.0 doch als „kritisch“ einstufe, hieß es zur Begründung aus der Firmenzentrale in Redmond gegenüber CNET/ZDNet.

Problem ist ein Bug in der Prozessroutine, wie der Browser mit „Web Objekten“ umgeht. Diesen Fehler könnten Hacker dazu benutzen, um jede Datei auf dem Rechner des Opfers zu lesen und bestimmte Programme zu starten. Den Angaben nach könnte der Eindringling aber keine Informationen löschen oder eigene Files auf den PC laden, hieß es in der anfänglichen Warnmelddung bei Microsoft.

Zuvor hatte Thor Larholm, ein Sicherheitsberater bei Pivx Solutions Microsofts „moderate“ Einstufung des Problems öffentlich angeprangert: „Es ist toll, dass willkürliche Befehlsausführung, lokaler Zugriff auf Dateien und das Eindringen in einen Rechner nur noch als ´moderate Bedrohung´ angesehen wird.“

Aus Redmond heißt es lapidar, dass man einfach ein wichtiges Detail vergessen hätte, als man den Fehler anfänglich eingestuft habe. „Eine auf Ntbugtraq veröffentlichte Information hat zu weiteren Nachforschungen geführt. Diese haben bis dahin unbekannte Unsicherheiten aufgedeckt.“ Demnach sei es jetzt doch möglich über eine besonders programmierte Website oder E-Mail Code auf dem Rechner de Opfers auszuführen.

Microsoft betonte, dass die neue Einstufung nichts an der Wirksamkeit des Patches ändere. „Die Patches sind unverändert“, so das Unternehmen. Kunden, die den Bugfix aufgespielt hätten, seien gegen diese und vorangegangene Sicherheitslöcher gesichert. Voraussetzung damit das kumulative Patch installiert werden kann, ist beim Internet Explorer 5.5 das Service Pack 2 oder IE Version 6.0.