Microsoft kommentiert neue Sicherheitslücke im IE

Nachdem wir am Dienstag, den 25. April, über eine neue kritische Sicherheitslücke im Internet Explorer berichteten, reagiert der Softwarehersteller Microsoft nun auf die öffentliche Bekanntmachung über die Mailingliste "Full-Disclosure". Demnach laufen derzeit Untersuchungen, inwieweit dieses Problem wirklich sicherheitsrelevant ist und ob den Betroffenen entsprechende Unterstützung gegeben werden muss. Ein Microsoft-Sprecher bestätigte bereits, dass die Lücke zum Absturz des Browser führen kann.

Das Problem entsteht durch einen Fehler bei der Verarbeitung eines verschachtelten Object-Tags der Beschreibungssprache HTML. Dies kann ausgenutzt werden, um den Anwender auf eine schadhafte Internetseite zu führen oder um direkt beliebigen Code auszuführen. Bisher wurde die Sicherheitslücke nur für ein System mit Windows XP Service Pack 2 und allen Updates für den Internet Explorer 6 bestätigt. Ob auch andere Versionen betroffen sind, ist noch nicht bestätigt. Bisher ist auch keine Möglichkeit bekannt, sich vor diesem Fehler zu schützen.

Weitere Informationen:

• Security Advisory von Secunia
• Beschreibung von Michal Zalewski