Nachdem im Internet Code erschienen ist, der eine neue Schwachstelle in Microsofts Browser Internet Explorer ausnutzt, warnen Experten vor möglichen Attacken. Secunia beschreibt das Problem in einem aktuellen Advisory: Demnach handelt es sich um einen Speicherfehler in dem für Multimedia-Steuerung zuständigen Active-X-Control "daxctle.ocx" (und da in der Funktion "CPathCtl::KeyFrame()").

Ein Angreifer könnte diesen Bug ausnutzen, um ein System unter seine Kontrolle zu bringen. Er muss dazu den Anwender nur zum Aufrufen einer präparierten Web-Seite verleiten.

Welche Explorer-Versionen genau betroffen sind, ist unklar. Secunia ist es eigenen Aussagen zufolge gelungen, den Angriff auf einem Rechner mit der aktuellsten XP-Version und Internet Explorer 6 zu reproduzieren. Daneben seien aber auch Benutzer von Windows 2000 gefährdet. Secunia stuft den Fehler als "extrem kritisch" ein, das ist die höchsten Warnstufe des Anbieters.

Microsoft hat zu der neuerlichen Schwachstelle einen Hinweis veröffentlicht. Dort heißt es unter anderem: "Wir wissen, dass Proof-of-concept-Code öffentlich gemacht wurde, aber wir sind uns gegenwärtig keiner Attacken bewusst, die die Schwachstelle ausnutzen." Man werde die Berichte untersuchen. Da es noch keinen Patch gibt, bietet Microsoft mehrere Workarounds, die die Sicherheitslücke zwar nicht schließen, aber Angriffe verhindern sollen.

Neu scheint die Schwachstelle nicht zu sein: Der Security-Experte HD Moore von Metasploit.org hatte den Fehler mit dem von ihm selbst entwickelten Tool "AxMan" bereits vor einiger Zeit entdeckt. Er hatte den Fehler jedoch nicht publik gemacht, weil er zu leicht auszunutzen sei. Moore weiß eigenen Aussagen zufolge noch von "drei oder vier" weiteren Explorer-Fehlern, die ähnlich schwerwiegend sind. (ave)