Zero-Day-Lücke im Internet Explorer entdeckt

Auf die am Freitag auf der Sicherheits-Mailingliste Bugtraq aufgetauchte Meldung mit dem Betreff "IE7", in der einige Zeilen HTML-Code enthalten sind, haben verschiedene Sicherheitsexperten nun einen genauen Blick geworfen. Wie sich herausgestellt hat, handelt es sich um eine bisher unbekannte Schwachstelle im Browser von Microsoft. Unter anderem hat der Sicherheitsdienstleister 'Symantec' die kritische Lücke im Internet Explorer bestätigt.

Das Exploit sei zwar noch nicht ausgereift, es sei jedoch sehr wahrscheinlich, dass der Code weiterentwickelt und verbessert werde. Infolgedessen könnten auch schon in absehbarer Zeit erste Angriffe gestartet werden.

Durch das erfolgreiche Ausnutzen der Schwachstelle könnte ein Angreifer Schadcode verbreiten und die Systeme der Opfer möglicherweise vollständig übernehmen. Diese Problematik haben auch die Experten von 'VUPEN Security' bestätigt und die 0Day-Lücke sowohl im Internet Explorer 6, als auch in der Version 7 unter Windows XP mit dem Service Pack 3 erfolgreich ausnutzen können. Eingestuft wird die "Internet Explorer CSS Handling Code Execution Vulnerability" als kritisch.

Auch wenn der Sachverhalt gegenwärtig noch nicht lückenlos klar ist, vermuten die Experten den Fehler in einer bestimmten JavaScript-Methode im Zusammenhang mit der Programmbibliothek "Microsoft HTML Viewer" (mshtml.dll). Der Browser könnte sodann beim Empfangen von CSS/STYLE-Objekten abstürzen und zugleich könnte das Einschleusen von Schadcode ermöglicht werden.

Um sich vor derartigen Angriffen zu schützen, könnte man beispielsweise das Active Scripting in den Einstellungen deaktivieren. Dies hätte jedoch zur Folge, dass viele Webseiten nicht mehr in der gewünschten Form dargestellt werden können.

Von Microsoft liegt momentan noch keine Stellungnahme oder ein Patch, der die Sicherheitslücke aus der Welt schaffen könnte, vor.