Eine seit Monaten bekannte Lücke im Internet Explorer hat sich zu einer akuten Bedrohung für alle BenutzerInnen des Microsoft-Browsers ausgewachsen. So ist nun Exploit-Code aufgetaucht, der dieses bisher vom Hersteller nicht gepatchte Problem ausnutzt und die Übernahme betroffener Rechner ermöglicht.

Javascript

Das Problem liegt dabei in der Verarbeitung von speziellem Javascript-Code im speziellen in der Funktion window(). Bisher war lediglich bekannt, dass der IE damit zum Absturz gebracht werden kann, wie sich nun zeigt, kann auf diese Weise aber auch Code eingeschmuggelt und ausgeführt werden. Weitere Details finden sich im Security Advisory von Secunia.

Akut

Da das Ansurfen einer manipulierten Website mit dem IE vollkommen ausreicht, um sich entsprechenden Schadcode einzufangen, stuft Secunia das Problem als "extrem kritisch" - der höchsten verfügbaren Warnstufe - ein. Mittlerweile hat auch Microsoft mit einem eigenen Advisory reagiert, darin wird das Problem bestätigt und allen IE-BenutzerInnen bis zum Erscheinen eines Updates zur Deaktivierung von ActiveScripting geraten. Wer auf die Javascript-Funktionalität nicht verzichten kann oder will, sollte vorerst einen anderen Browser zum Einsatz bringen.

Umfassend

Von der Lücke betroffen sind praktisch alle Internet Explorer und Windows Versionen ab IE 5 und Windows 98, auch das aktuelle Service Pack 2 für Windows XP bietet hier keinen Schutz. Ausgenommen sind lediglich Windows Server 2003 und Windows Server 2003 Service Pack 1 in der Default-Konfiguration, da hier erweiterte Sicherheitsmaßnahmen geboten werden. (apo)