Web

Experten warnen vor neuem Leck im Internet Explorer

27.11.2003

MÜNCHEN (COMPUTERWOCHE) - Experten warnen vor neu entdeckten Sicherheitslücken im Internet Explorer 6 (IE), die sich durch die Active-Scripting-Funktionen des Browsers ausnutzen lassen. Dabei handelt es sich laut Niels Rasmussen, Geschäftsführer des dänischen IT-Sicherheitsdienstleisters Secunia ApS, um mehrere kleine Lecks, die zusammen als sehr risikoreich einzustufen seien. Demnach lassen sich unter anderem die Sicherheitseinstellungen des Browsers durch manipulierte HTML-Mails und Web-Seiten ändern. Um das Risiko auszuschalten, gebe es zurzeit nur zwei Methoden - entweder Active Scripting im IE deaktivieren oder auf einen anderen Browser, zum Beispiel Mozilla, ausweichen.

Mittlerweile hat das CERT Coordination Center die ursprünglich vom chinesischen Sicherheitsforscher Liu Die Yu gemeldeten Lecks überprüft. Laut CERT-Spezialist Art Manion sind die Lücken auch dann offen, wenn alle von Microsoft zur Verfügung gestellten Sicherheits-Patches eingespielt sind. Im Kern handle es sich um "Cross-Domain"-Lecks, durch das sich Scripts Domain-übergreifend ausführen lassen. Angreifer können sich dadurch Zugriff auf lokal gespeicherte Daten verschaffen.

Microsoft untersuche die gemeldeten Probleme, sagte Debby Fry Wilson, Chefin der Security Business Unit bei Microsoft. Bislang gebe es keine Hinweise darauf, dass die Sicherheitslücken bereits ausgenutzt worden seien. Wilson kritisierte außerdem, dass die Sicherheitsexperten vor der Veröffentlichung der Lecks Microsoft nicht informiert haben. Das verschaffe Hackern Zeit, die Lücken so lange auszunutzen, bis entsprechende Patches entwickelt sind. (lex)