computerwoche.de

Archiv

Microsoft streitet IE7-Fehler ab

23.10.2006
Eine Schwachstelle im neuen Internet Explorer soll das Ausspähen vertraulicher Informationen ermöglichen.

Keine 24 Stunden nach Erscheinen der endgültigen englischsprachigen Version des IE 7 hatte das Sicherheitsunternehmen Secunia ein Leck im Micosoft-Browser entdeckt, über das Angreifer aus der Ferne sensible Informationen ausspionieren könnten. Der Fehler soll im Bearbeiten von Umleitungen mit "mhtml:"-URLs liegen und die finale Version des IE 7 auf Windows-XP-Systemen mit Service Pack 2 betreffen.

Kaum da, schon kaputt?

Besucht demnach ein IE-7-Nutzer eine manipulierte Website, kann diese das Sicherheitsleck ausnutzen, um Informationen von einer anderen, sicheren Seite einzusehen, sofern der User zu diesem Zeitpunkt noch an anderer Stelle eingeloggt ist. Laut Thomas Kristensen, CTO bei Secunia, könnte ein Angreifer so sensible Informationen wie Bankdaten oder Nachrichten von einem Web-Mail-Account einsehen. Allerdings stuft Secunia die potenzielle Durchlässigkeit des jüngsten Explorers, unter der schon sein Vorgänger IE 6 litt, als "weniger kritisch" ein. So müssten IE-Nutzer für eine erfolgreiche Attacke erst einmal auf eine bösartige Site gelockt werden und Angreifer zudem wissen, welche andere, sichere Web-Seite das Opfer gleichzeitig geöffnet habe, relativiert Kristensen das Problem. Als Gegenmaßnahme empfehlen die Experten, die Unterstützung für Active-Scripting zu deaktivieren.

Microsoft hat mittlerweile auf den Warnhinweis reagiert - und seinem Ärger über die aus seiner Sicht ungerechtfertigte Schelte Luft gemacht: Dem Softwarekonzern zufolge liegt die Schwachstelle gar nicht im IE 7, sondern vielmehr im Mail-Client "Outlook Express". Der Browser diene lediglich als Auslöser. Die Berichte über den Fehler seien "technisch nicht akkurat", heißt es im Blog des Microsoft Security Response Center. Das Problem betreffe weder Version 7 des IE "noch irgend eine andere Version".

Ein altes Problem

Secunia hatte die Sicherheitslücke bereits im April in der Version 6 des Internet Explorer festgestellt und eine Warnung herausgegeben, nachdem der Fehler jetzt auch im IE 7 auftrat. Experten rätseln nun, warum Microsoft den Sachverhalt nicht schon im Frühjahr geklärt hat. (kf/ave)