Die Schwachstelle liegt in einer Javascript-Komponente des Internet Explorer (IE), die zum Laden von Web-Seiten auf einen Computer genutzt wird, und lässt sich mit Hilfe des von dem Londoner Sicherheitsunternehmen Computer Terrorism veröffentlichten Proof-of-Concept-Codes ausnutzen.

Das Leck ist bereits seit Mai dieses Jahres bekannt. Allerdings seien die Sicherheitsexperten bislang davon ausgegangen, dass sich damit lediglich ein PC zum Absturz bringen lasse, so Russ Cooper, Herausgeber der NTBugtraq-News-Liste und Security-Spezialist bei Cybertrust. "Erst jetzt hat man herausgefunden, wie sich darüber auch bösartiger Code ausführen lässt." Laut Cooper müssen Nutzer dazu gebracht werden, einen bestimmten Web-Link anklicken, um den Code zu aktivieren. Dadurch würde eine Kettenreaktion ausgelöst, die es dem Angreifer ermögliche, die Kontrolle über das betroffene System zu erlangen.

Von der Schwachstelle betroffen sind die IE-Versionen 5.5 und 6.x. Bis ein entsprechender Patch von Microsoft zur Verfügung steht, empfehlen die Security-Experten von Secunia in einem Advisory, Javascript ("Active Scripting") zu deaktivieren. (kf)