MÜNCHEN (COMPUTERWOCHE) - Mit dem Security-Bulletin für den Monat Dezember liefert Microsoft einen lang erwarteten Patch, der eine Sicherheitslücke im Internet Explorer (IE) beseitigen soll, die sich über manipulierte IFrames ausnutzen lässt.

Mit Hilfe von IFrames lassen sich externe Inhalte in eigene Web-Seiten einbetten. Der Microsoft-Browser verarbeitet überlange Attribute in IFrame-Tags jedoch fehlerhaft, so dass ein Pufferüberlauf (Buffer Overflow) entsteht. Dadurch können sich Angreifer Zugriff auf betroffene Systeme verschaffen. Seit November kursiert eine Variante des Wurms "Mydoom", die dieses Leck ausnutzt. Dieser "Bofra" genannte Schädling verbreitete sich zum Teil auch über seriöse Websites, wie zum Beispiel "The Register" (Computerwoche.de berichtete).

Von der Sicherheitslücke betroffen ist der IE 6 (mit Service Pack 1) unter den Windows-Versionen 2000 (SP 3 und SP 4) und XP (SP 1) sowie unter NT Server 4.0 (SP 6a, auch Terminal Edition mit SP 6) und den Varianten 98, 98 SE und Me. Auch mit der 64-Bit-Edition von Windows XP weist der Browser die Schwachstelle auf. Die entsprechenden Patches liefert Microsoft mit dem Security Bulletin MS04-040. (lex)