Microsoft stopft gefährliche Lücke im Internet Explorer

Dieser Tage ist für Windows-Anwender wieder "patchen" angesagt. Microsoft hat drei neue Sicherheitsbulletins veröffentlicht [1]. Das wichtigste beschreibt eine Anfälligkeit bei ActiveX-Steuerelementen [2] in der HTML-Hilfe [3]. Sie kann dazu ausgenutzt werden, um über präparierte Webseiten beliebigen Code auszuführen und Kontrolle über fremde Systeme zu erlangen. Ein Benutzer muss dazu nur mit dem Internet Explorer die entsprechende Homepage besuchen. Betroffen sind alle Windows-Versionen falls der Internet Explorer 6 installiert ist. Ende Dezember tauchte auf verschiedenen Webseiten bereits ein Schädling namens Trojan.Phel [4] auf, der sich über eben diese Schwachstelle verbreitet. Das dänische Unternehmen Secunia hat diese Woche die Anfälligkeit in der HTML-Hilfe als "Extrem kritisch eingestuft" [5]. Der Patch von Microsoft sollte deshalb möglichst bald installiert werden. Er ist über die automatische Update-Funktion, die Windows-Update-Seite [6] oder das entsprechende Sicherheitsbulletin verfügbar.

Das zweite - ebenfalls "kritische" - Update behebt eine Anfälligkeit in der Behandlung von Cursor- und Symbolformaten sowie im Windows-Kernel. Die Lücken ermöglichen es Angreifern, über präparierte Websites oder E-Mails Kontrolle über das System zu erlangen bzw. DoS-Attacken [7] auszuführen. Betroffen sind alle Windows-Versionen ausser Windows XP mit installiertem Service Pack 2. Auch hier empfiehlt sich betroffenen Nutzern eine möglichst rasche Systemaktualisierung über die automatische Update-Funktion, die Windows-Update-Seite oder das entsprechende Sicherheitsbulletin.

Das letzte Sicherheitsbulletin informiert über ein Leck im Windows-Indexdienst. Angreifer können es ausnutzen, um Kontrolle über das System zu erlangen. Sie müssen dazu über ein Netzwerk eine entsprechend manipulierte Anfrage an das Opfer senden. Betroffen sind alle Windows-Varianten ausser 98 (SE), ME, NT Server 4 und Windows XP mit Service Pack 2. Microsoft stuft die Schwachstelle als "hoch" ein und empfiehlt ein Update. Dieses kann über die oben erwähnten Wege bezogen werden.