MÜNCHEN (COMPUTERWOCHE) - Mit einem neuen Sammel-Patch beseitigt Microsoft neben allen bisher aufgetauchten Sicherheitslücken auch zwei neu entdeckte Lecks in den Internet-Explorer-Versionen 5.01 bis 6.0. Ein fehler steckt im "Cross-Domain"-Sicherheitsmodell des Browsers und ermöglicht es Angreifern, Scripts auf betroffenen Rechnern auszuführen. Dazu werden Anwender auf manipulierte Websites geleitet, die Schadroutinen im Zwischenspeicher des Internet Explorer ablegen. Durch die Lücke ist es außerdem möglich, unberechtigt beliebige lokal gespeicherte Programmdateien auszuführen und Daten auszuspionieren, heißt es bei Microsoft.

Ein weiteres Sicherheitsproblem resultiert aus der fehlerhaften Erkennung von Objekt-Typen, die Web-Server auf Anfragen zurückgeben. Dadurch können Angreifer beliebigen Code auf betroffenen Systemen ausführen. Sie nutzen das Leck, indem sie Anwendern manipulierte HTML-Mails schicken oder auf präparierte Web-Seiten leiten.

Die Sicherheitslücken werden laut Microsoft behoben, indem der Patch ein so genanntes "Kill Bit" im ActiveX-Control "BR549.DLL" setzt. Das Control, das die Unterstützung für das Windows Reporting Tool implementiert, wurde als Ursache für die Lecks identifiziert. Nach Einspielen des Bugfixes wird es durch den Internet Explorer nicht mehr unterstützt. (lex)