Web

JPEG-Bilder schießen den Internet Explorer ab

22.07.2005

MÜNCHEN (COMPUTERWOCHE) - Der Security-Experte Michal Zalewski hat Fehler im Microsoft-Browser Internet Explorer beim Umgang mit JPEG-Bildern entdeckt. Ein davon lässt sich nach Angaben von Zalewski von Hackern dazu missbrauchen, beliebigen Remote-Code auszuführen - so etwas wird von Sicherheitsfirmen üblicherweise als "kritisch" eingestuft. Der Experte hat vier Proof-of-concept-Bilder ins Netz gestellt. Jedes davon kann den Internet Explorer abschießen, auch die neueste Version aus Windows XP mit installiertem Service Pack 2 (SP2). Einem Posting auf SecurtiyFocus zufolge könnten auch ältere Releases betroffen sein. Detaillierte Informationen finden Interssierte in den SecurityFocus-Fehlermeldungen 14282 und 14284.

Zalewski hat den Fehler (was Microsoft ärgern wird) nicht zuvor an den Redmonder Softwarekonzern gemeldet, sondern sofort direkt öffentlich gemacht. "Nach meiner Erfahrung ist das Melden und Diskutieren von Sicherheitsproblemen mit Microsoft ein unnötig langer Prozess, der den Entdecker zu sehr belastet - speziell wenn es nur um einen Crash-Fall, nicht aber einen funktionierenden Exploit geht", schrieb Zalewski auf der Security-Site Neophasis. "Deswegen wurden sie nicht vorab informiert."

Ein Sprecher von Microsoft erklärte, man untersuche "neue öffentliche Meldungen" über mögliche Lecks im Internet Explorer, es seien aber diesbezüglich noch keine Angriffe bekannt geworden. Nach Abschluss der Untersuchung werde Microsoft die nötigen Maßnahmen ergreifen, um seinen Kunden zu schützen. Man sei "besorgt, dass der Bericht nicht verantwortlich veröffentlicht wurde und möglicherweise Computernutzer Risiken aussetzt". (tc)