Löchriger Internet Explorer

Microsoft warnt in der Sicherheitsmitteilung 2458511 vor der neuen Lücke im Internet Explorer (IE). Die Schwachstelle betrifft demnach die IE-Versionen 6 bis 8 - möglicherweise aber auch ältere Varianten, die von Microsoft nicht mehr unterstützt werden. Die Beta-Version des Internet Explorer 9 soll nicht für diese Angriffe anfällig sein.

Der Fehler liegt in der Verarbeitung von CSS-Anweisungen (Cascading Stylesheets) in HTML-Seiten. Bei einem erfolgreichen Exploit der Lücke kann beliebiger Code eingeschleust und mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Die Schwachstelle wird von Angreifern gegen Unternehmen eingesetzt, indem die Kriminellen Mails mit Links zu einer präparierten Internetseite an ausgewählte Angestellte verschicken. Die Webeite startet dann einen verdeckten Download eines Trojanischen Pferds.

Microsoft arbeitet an einem Sicherheits-Update, das die Schwachstelle beseitigen soll. Ob es bis zum nächsten Patch Day am 9. November fertig und durchgetestet sein wird, muss allerdings bezweifelt werden. Microsoft empfiehlt die Aktivierung der Schutztechnik DEP (Data Execution Prevention) für den IE 7 (beim IE 8 standardmässig aktiviert).

Dazu hat Microsoft ein Fix-it Tool bereit gestellt. Ausserdem haben die Redmonder eine weitere Fix-it-Lösung erstellt, mit dem benutzerdefinierter CSS-Code die Layout-Anweisungen der präparierten Web-Seiten überschreibt, um den Exploit auszuhebeln. Beide Fix-it Tools sind in Microsofts KB-Artikel 2458511 verfgbar.