In Standardinstallationen auf mehreren Windows-Version besteht eine Sicherheitslücke im Internet Explorer. Dies berichtet Eeye Digital Security in einer Ankündigung für eine kommende Eeye-Sicherheitsempfehlung. Microsoft bestätigt, dass man über die Entdeckung unterrichtet worden sei und die Angaben von Eeye untersuche.
Aus der öffentlichen Mitteilung von Eeye geht nicht hervor, worin die Sicherheitslücke genau besteht. Die Schwachstelle wird als "high risk" (hohes Risiko) eingestuft, da sie das Einschleusen und Ausführen von schädlichem Programm-Code ermöglichen soll. Für die Entwicklung eines erfolgreichen Angriffs (Exploit) sind detaillierte Kenntnisse über die verwundbare Stelle nötig.
Typischerweise handelt es sich bei solchen Angriffen um die Ausnutzung eines Pufferüberlaufs (Buffer Overflow). Dieser entsteht, weil Daten nicht hinreichend geprüft werden, bevor sie in einen Puffer mit festgelegter Größe geschrieben werden. Stürzt die fehlerhafte Anwendung ab, kann eingeschleuster Code im Arbeitsspeicher verbleiben und ausgeführt werden.
Die Mitteilung von Eeye warnt, dass mehrere Windows-Versionen von der Sicherheitslücke betroffen sind. Genannt werden Windows 2000, Windows Server 2003 und Windows XP ohne Service Pack oder mit Service Pack 1. Demnach wäre der Internet Explorer unter Windows XP mit installiertem Service Pack 2 nicht betroffen.
Es ist zu erwarten, dass Microsoft nach einer ersten Prüfung zunächst eine Sicherheitsempfehlung (Security Advisory) heraus gibt. Der nächste Patch Day steht bereits am kommenden Dienstag an. Bis dahin ist nach bisherigen Erfahrungen nicht mit einem ausgetesteten Sicherheits-Update für den Internet Explorer zu rechnen. Auf einer Liste von Eeye stehen noch mehrere Schwachstellen, die zum Teil bereits seit Monaten auf eine Behebung warten.
Quelle und Links :
http://www.pcwelt.de/news/sicherheit/117187/index.html
