Neue Lücke im Internet Explorer

Microsoft hat am Wochenende eine neue Sicherheitsempfehlung veröffentlicht, in der vor einer neuen Sicherheitslücke in Windows gewarnt wird. Das Microsoft Security Advisory 2501696 trägt den Titel Schwachstelle in MHTML könnte Informationen preisgeben. Derzeit untersucht Microsoft Berichte über diese Lücke, von der alle Windows-Versionen inklusive Windows 7 (32 und 64 Bit) betroffen sind.

Die Sicherheitslücke, so heisst es, könne es einem Angreifer gestatten, ein bösartiges Script ablaufen zu lassen, sobald der Anwender eine entsprechend präparierte Website besucht. In der Folge könnte der Angreifer an Informationen über den Anwender gelangen. Die Auswirkungen seien ähnlich wie bei einer serverseitigen Cross-Site-Script-Schwachstelle. Auch ein Proof-Of-Concept-Code kursiert laut Angaben von Microsoft bereits im Internet. Bisher sei allerdings noch nicht bekannt, dass die Schwachstelle von Angreifern auch in der Realität ausgenutzt werde. Das könnte sich aber seit Veröffentlichung der Sicherheitsempfehlung mittlerweile geändert haben.

Die Schwachstelle steckt laut Microsoft in der Art und Weise, wie MHTML Anfragen interpretiert, die im MIME-Format vorliegen. Unter bestimmten Umständen sei ein Angreifer in der Lage, ein Script in die Antwort auf eine Webanfrage zu schmuggeln, das dann auf dem Rechner des Opfers ausgeführt wird.

Microsoft will im Rahmen der Untersuchung klären, ob ein Sicherheits-Update erforderlich ist und wann dieses ausgeliefert werden soll. Dass ein Sicherheits-Update erscheinen wird, dürfte unstrittig sein. Letztendlich stellt sich die Frage, ob dieses Sicherheits-Update noch zum Patch Day im Februar veröffentlicht wird, der am 8./9. Februar geplant ist.

Derweil gibt Microsoft diverse Ratschläge, wie man sich vor der Sicherheitslücke schützen kann. Ein Vorschlag lautet, einen Lockdown des MHTML-Protokolls durchzuführen. Das kann wahlweise per Eingriff in die Registry oder per Microsoft Fix-It Tool 2501969 geschehen. Alternativ empfiehlt Microsoft, die Sicherheitszone für Internet und lokales Intranet auf Hoch zu stellen, um so das Ausführen von ActiveX Controls und Active Scripting zu blockieren.

Berichte über die neue Windows-Sicherheitslücke waren Ende letzter Woche erstmalig auf einer chinesischen Website aufgetaucht. Hier wurde auch ein Proof-of-Concept-Code veröffentlicht, mit dem die Wirksamkeit der Sicherheitslücke belegt wird. Von der Sicherheitslücke sind insbesondere Internet-Explorer-Anwender betroffen. Firefox und Chrome unterstützen in ihren Standardeinstellungen MSHTML nicht, sondern erst nach der Installation von Add-On-Modulen.