Microsoft stellt Patch für Iframe-Lücke zur Verfügung

Microsoft hat außerplanmäßig einen Patch für die Iframe-Lücke im Internet Explorer veröffentlicht. Normalerweise erscheinen Bugfixes der Redmonder einmal im Monat am so genannten Patch Day, die Schwere der Sicherheitslücke und zahlreiche verfügbare Exploits zwangen das Unternehmen jedoch offensichtlich zum Umdenken.

Von der Schwachstelle sind alle Systeme mit Internet Explorer 6.0 betroffen. Lediglich XP-Rechner mit dem Service Pack 2 sind nicht angreifbar. Die Lücke ermöglicht es einem Angreifer, die Kontrolle über einen PC zu übernehmen und dort beispielsweise schädlichen Code auszuführen. Dabei genügt es, einen Anwender auf eine speziell präparierte Website zu locken. Ein gewisser Schutz wäre, nicht mit Administrator-Rechten im Internet zu surfen, bei den meisten Anwendern ist dies jedoch an der Tagesordnung.

Die Iframe-Lücke, von Microsoft jetzt als „Internet Explorer Elements Flaw“ bezeichnet, wurde vor mehr als einem Monat bekannt und wurde in der Zwischenzeit von Hackern und Virenschreibern für einige Angriffe genutzt. So war die Schwachstelle bereits das Ziel der Viren Bofra.A und Bofra.B und auch die Infektion durch manipulierte Werbebanner auf der britischen Nachrichtenseite „The Register“ geht darauf zurück.

Stephen Toulouse von Microsoft räumt ein, dass diese Exploits eine wichtige Rolle bei der Entscheidung gespielt haben, das Sicherheitsupdate außerplanmäßig zur Verfügung zu stellen. Der nächste Patch Day ist für den 14. Dezember angesetzt. Der Patch kann entweder über Windows Update oder auf der Microsoft-Website heruntergeladen werden.