Dabei handelt es sich zum einen um eine Schwachstelle, die den Gebrauch von HTA-Applikationen betrifft und vom Internet Storm Center (ISC) des SANS Institute als kritisch eingestuft wird. Der Fehler lässt sich ausnutzen, wenn es gelingt, den Nutzer zum Öffnen einer Datei mittels Doppelklick zu bewegen. Diese kann sich auf einer entfernten Website befinden und muss entweder via SMB oder "WebDAV" zugänglich sein, um potenziell bösartigen Code auszuführen.

Die zweite Verwundbarkeit liegt in der Handhabung von Umleitungen, die sich über die Eigenschaft "object.documentElement.outerHTML" ausnutzen lässt, um Inhalte der vom Nutzer besuchten Web-Seite aus der Ferne abzurufen. Bedenklich ist dies insofern, als sich Angreifer auf diese Weise Zugriff etwa auf Benutzerdaten verschaffen könnten. Laut ISC lässt sich diese Schwachstelle sogar unter Verwendung des Mozilla-Browsers Firefox reproduzieren.

Microsoft untersucht die beiden IE-Sicherheitslecks derzeit. Laut ISC gibt es bislang noch keine Anhaltspunkte dafür, dass die Schwachstellen in freier Wildbahn bereits aktiv ausgenutzt worden sind.

Als aktuelle Schutzmaßnahme empfiehlt Secunia in einem Advisory, die Unterstützung für Active Scripting zu deaktivieren sowie den Windows-File-Sharing-Traffic zu filtern. Darüber hinaus bietet das Sicherheitsunternehmen einen Test, mit dem Anwender die Verwundbarkeit des von ihnen genutzten Browsers überprüfen können. (kf)