Erster Schadcode für IE-Lücke

Die Sicherheitsexperten der dänischen Firma Secunia haben diese Woche ein kritisches Leck im Internet Explorer entdeckt. Es ermöglicht Angreifern die Ausführung von beliebigem Code. Schuld ist ein Fehler im Umgang mit der «createTextRange()»-Anweisung. Microsoft hat die Lücke nun offiziell bestätigt und ein Sicherheitsbulletindazu veröffentlicht. Laut dem Softwarehaus sei bereits erster Schadcode aufgetaucht, mit dem sich die Anfälligkeit ausnutzen lasse. Von konkreten Angriffen habe man hingegen noch nichts gehört. Wie der Windows-Konzern warnt, müssten Opfer nur zum Aufrufen einer entsprechend manipulierten Website gebracht werden. Dies kann etwa über einen Link in einer betrügerischen E-Mail geschehen. Betroffen sind alle aktuellen Internet-Explorer-Versionen ausser die jüngste Beta des Internet Explorers 7. Microsoft arbeitet nach eigenen Angaben an einem Patch. Dieser soll entweder mit den April-Sicherheitsupdates oder eventuell auch früher erscheinen. Bis dahin empfiehlt die Redmonder Firma, bei E-Mail-Links von unbekannten Absendern besondere Vorsicht walten zu lassen.