Weitere IE-Löcher entdeckt

In den älteren Versionen 6 und 7 des Internet Explorer ist eine bis dahin unbekannte Sicherheitslücke aufgedeckt worden. Ein kommentarloser Beitrag auf einer Mailing-Liste enthält Beispiel-Code, der den Internet Explorer (IE) zum Absturz bringt. Im davon nicht betroffenen IE 8 ist eine XSS-Lücke enthalten, über die Microsofts Schutzmechanismus gegen XSS-Angriffe missbraucht werden kann.

Die Schwachstelle im IE 6/7 ist von einer unbekannten Person veröffentlicht worden, die sich "securitylab.ir" nennt. Der Sicherheitsdienstleister Secunia bestätigt die als "highly critical" eingestufte Lücke für IE 6 unter Windows XP SP2 sowie IE 7 unter Windows XP SP3. Das Problem stecke in der Programmbibliothek "mshtml.dll" zur Anzeige von Web-Seiten, schreibt VUPEN Security. Es tritt bei der Verarbeitung bestimmter CSS-Anweisungen (Cascading Stylesheets) mit Javascript auf. Der Beispiel-Code benutzt die Javascript-Anweisung "getElementsByTagName()" und eine sehr lange Zeichenkette.

Die Schwachstelle ist unterdessen von Symantec bestätigt worden. Das Einschleusen beliebigen Codes scheint möglich. Der veröffentlichte Code funktioniert jedoch laut Symantec nicht zuverlässig. Es sei jedoch wahrscheinlich, dass bald verbesserter Code auftauchen werde, heisst es im Symantec Security Response Blog. Zum Schutz müsste man Scripting im IE abschalten, wodurch jedoch etliche Web-Seiten nicht mehr benutzbar wären.