Web

 

Internet Explorer hält wieder mal nicht dicht

09.11.2001
0

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat wieder einmal ein ernstes Sicherheitsloch in den aktuellen Versionen 5.5 und 6 seines Browsers Internet Explorer entdeckt. Outlook Express, das die IE-Engine zur Darstellung von HMTL-Mails nutzt, ist ebenfalls betroffen. Ältere IE-Versionen sind möglicherweise ebenso angreifbar, werden aber von Microsoft als "nicht länger unterstützt" ignoriert.

Über böswillig manipulierte URLs lassen sich die auf dem Rechner eines Surfers gelagerten Cookies, kleine Textdateien mit unter Umständen sensiblen persönlichen Daten, auslesen und auch verändern. Ein Patch wird bereits entwickelt. Bis dieser verfügbar ist, empfiehlt der Hersteller, das "Active Scripting" in der Intra- und Internet-Zone zwischenzeitlich ganz abzuschalten.

Kommentar: Für gänzlich unpassend halten wir die folgende Formulierung in Microsofts Security Bulletin: "Warum ist noch kein Patch erhältlich? - Die Person, die diese Sicherheitslücke entdeckte, hat entschieden diese unverantwortlich zu behandeln und sie wissentlich nur wenige Tage nach einem Bericht an Microsoft öffentlich zu machen. Es ist einfach nicht möglich, einen Patch in so kurzer Zeit zu erstellen, zu testen und zu veröffentlichen und dabei vernünftige Qualitätsstandards einzuhalten." Bei allem Verständnis für die Situation des Herstellers finden wir es nicht verantwortungslos, sondern ganz im Gegenteil verantwortungsvoll, wenn Anwender - wie in diesem Fall über die Bugtraq-Mailinglist - so früh wie möglich auf ein derart gravierendes Sicherheitsproblem aufmerksam gemacht werden.

Das Stillschweigen zu Sicherheitslöchern ist neuerdings die offizielle Wunschvorstellung von Microsoft und anderen (Computerwoche online berichtete). Eine interessante Diskussion - in englischer Sprache - zu dieser Entwicklung findet sich hier auf der "Securityfocus"-Site. (tc)