Microsoft untersucht neues IE-Sicherheitsloch

Sicherheitsexperten warnen vor einer neu entdeckten Schwachstelle im Internet Explorer. Diese könne von Angreifern ausgenutzt werden, um Spoofing-Attacken auszuführen oder um Zugriff auf lokale Dateien zu erlangen.

Das Problem liege in der Arbeitsweise einer Javascript-Komponente des Microsoft-Browsers, so Amit Klein in einem gestern veröffentlichten Security Advisory. Kleins Untersuchungen hätten ergeben, dass die IE-Komponente XmlHttpRequest bestimmte Datenfelder nicht überprüfe und validiere. So könne ein Angreifer mit speziell präpariertem Code dem Benutzer eine legitim erscheinende Website vorgaukeln, auf Daten aus dem Browser-Cache zugreifen oder auch den Datenverkehr zwischen Client und Server abfangen.

Laut Secunia sind XP-Systeme auch mit allen derzeit verfügbaren Patches verwundbar. Das Unternehmen bewertet das Problem mit seiner zweithöchsten Gefahrenstufe „Moderately Critical“. Als temporäres Workaround könnten Anwender ActiveX im Browser deaktivieren oder die Standard-Sicherheitsstufe der IE-Internet-Zone auf „Hoch“ heraufsetzen.

Microsoft selbst untersuche nun den Bericht und werde je nach Ausgang der Analyse angemessene Schritte einleiten. Zurzeit seien keine im Umlauf befindlichen Exploits für die gemeldete Schwachstelle bekannt.

Der Software-Riese übte Kritik an der von Klein gewählte Methode der Veröffentlichung und ermahnte Sicherheitsforscher dazu, gefundene Schwachstellen direkt dem Unternehmen zu melden. Diese unmittelbar nach der Entdeckung im Netz offen zu legen stelle eine unnötige Bedrohung der Nutzer dar, da das Bereitstellen von Updates einige Zeit in Anspruch nehme.