Sicherheitslücke im IE weiterhin offen

Mit dem Patch-Day im Januar veröffentlichte Microsoft ein Update für den Internet Explorer. Dieses Update behebt eine neu entdeckte Sicherheitsanfälligkeit. Eine Sicherheitsanfälligkeit bei ActiveX-Steuerelementen in der HTML-Hilfe unter Windows ermöglicht die Offenlegung von Informationen oder die Codeausführung von Remotestandorten aus. [...] Wenn ein Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Berechtigungen erstellen.

Die Sicherheitsexperten von GeCAD NET gaben heute bekannt, dass diese Sicherheitslücke weiterhin existiert. Zwar ist das ursprüngliche Angriffsszenario nicht mehr erfolgreich, dafür aber ein neues. Aufgrund der Gefährlichkeit dieser Lücke macht das Unternehmen keine weiteren Angaben, bis Microsoft einen weiteren Patch veröffentlicht hat. Das Problem scheint nur unter Windows XP SP1 und Windows 2000 SP4 zu bestehen. Windows XP mit SP2 ist nicht betroffen.

• Microsoft Security Bulletin MS05-001
• ActiveX Object HTML Help Control still exploitable after patch MS05-001