MÜNCHEN (COMPUTERWOCHE) - Microsoft stuft zwei neu entdeckte Sicherheitslücken in den Internet-Explorer-Versionen 5.01, 5.5, und 6.0 inklusive Service Packs als "kritisch" ein. Zum einen ermittelt der Browser von einem Web-Server zurückgegebene Objekttypen nicht einwandfrei, zum anderen ist die Blockierung für das Download-Dialogfeld fehlerhaft implementiert. Die Lücken stecken in den Komponenten "urlmon.dll" und "shdocvw.dll", die für das Steuern der Verarbeitung von URLs (Uniform Resource Locators) und der von einer Website zurückgegebenen Informationen verantwortlich sind.

In beiden Fällen können Hacker beliebigen Code mit Benutzerrechten auf betroffenen Systemen ausführen. Dazu locken sie Anwender auf manipulierte Internet-Seiten. Auch durch mit Schadroutinen versehene HTML-Mails lassen sich die Lecks ausnutzen. Abhilfe soll ein Sammel-Patch schaffen, der auch eine Sicherheitslücke der Hilfefunktion beseitigt, für die Microsoft bereits Ende April einen separaten Bugfix herausgegeben hatte.

Microsoft weist darauf hin, dass nach dem Einspielen des neuen Sammel-Patches wie auch des älteren Bugfixes, der ebenfalls die "urlmon.dll" erneuert, die HTML-Hilfe aktualisiert werden muss. Den Vorgang beschreibt der Artikel "811630" der Microsoft Knowledge Base.

Unter Windows Server 2003 läuft der Internet Explorer 6 standardmäßig in der erweiterten Sicherheitskonfiguration, die Angriffe blockieren soll. Dennoch empfiehlt der Hersteller auch Nutzern dieses Betriebssystems, den Sammel-Patch einzuspielen. (lex)