Den Internet Explorer als "scheintot" zu bezeichnen wäre wohl noch vornehm. Die Nutzung des Browsers ist in den vergangenen Jahren massiv eingebrochen, und auch Microsoft selbst würde die Altlast lieber heute als morgen loswerden. Doch da es noch immer Webseiten – und hier vor allem interne Unternehmensanwendungen gibt – die nur mit dem IE funktionieren, wird er halt weiterhin mitgeliefert. Dass dies auch aus seiner Sicherheitsperspektive eine riskante Wahl ist, zeigt nun ein aktueller Vorfall.

Angriff

Der Sicherheitsforscher John Page hat eine kritische Lücke im Internet Explorer öffentlich gemacht, über die Angreifer Daten stehlen könnten. Da es bisher kein passendes Update zur Fehlerbereinigung gibt, handelt es sich bei dem Ganzen um einen sogenannten "Zero Day". Doch noch schlimmer: Das Problem betrifft nicht bloß IE-Nutzer, generell sind alle gefährdet, die Windows verwenden.

MHT

Der Grund dafür: Der Fehler findet sich im Umgang mit XML-Objekten, womit er sich über das alte Archivierungsformat MHT (MIME HTML) triggern lässt. Dieses wird von modernen Browsern nicht mehr unterstützt, was einen interessanten Angriff möglich macht. Lässt sich eine Zielperson dazu bringen, auf eine MHT-Datei zu klicken, öffnet sich immer der Internet Explorer – egal welcher Browser sonst die Default-Wahl bildet. Infolge könnte ein Angreifer dann gezielt Dateien vom lokalen Dateisystem abgreifen und auf einen externen Server hochladen.

Reaktion

Bei Microsoft zeigte man sich an dem Problem bislang nicht sonderlich interessiert: Das Unternehmen schloss den Fehlerbericht mit dem Hinweis, dass man einen Patch für eine spätere Version in Betracht ziehe. Dies veranlasste wiederum den Sicherheitsforscher, das Problem öffentlich zu machen. Für Windows-Nutzer heißt die Empfehlung derzeit jedenfalls, bei MHT-Dateien besonders vorsichtig zu sein, und sie im Zweifelsfall lieber nicht zu öffnen. (apo, 14.4.2019)