Zu einer wahren Katastrophe könnte sich eine seit Monaten offene Sicherheitslücke im Internet Explorer auswachsen: Obwohl bereits seit ca. 2 Wochen bekannt ist, dass über das Problem Code eingeschmuggelt und ein betroffener Rechner übernommen werden kann, und Secunia die Lücke als "extrem kritisch" klassifiziert, hat Microsoft bisher noch nicht mit einem Update reagiert.

Exploit

Die Gegenseite hingegen war wesentlich aktiver, verschiedene Sicherheitsdienstleister berichten, dass bereits einige Webseiten gesichtet wurden, die die Lücke aktiv ausnutzen. Da das reine Ansurfen einer manipulierten Webpage mit dem Microsoft-Browser ausreicht, um angreifbar zu sein, könnten also massenhafte Infektionen mit Trojanern bei Internet Explorer-BenutzerInnen bevor stehen.

Javascript

Zwar empfiehlt Microsoft einen Workaround - durch das Deaktivieren von ActiveScripting kann die Lücke nicht mehr ausgenutzt werden, dieser Rat wird wohl aber nur von den wenigsten befolgt, wohl auch weil dadurch dann einige Seiten nicht mehr korrekt dargestellt werden. Selbst auf der Seite des SANS Internet Storm Centers, bei dem davon ausgegangen werden kann, dass die LeserInnen weit überdurchschnittlich für Sicherheitsprobleme sensiblisiert sind, wird angegeben, dass beinahe die Hälfte aller BesucherInnen in der letzten Zeit für die Lücke anfällig waren.

Umstieg

Wer vor dem Problem geschützt sein will - und nicht ohne Javascript auskommen will / kann - sollte zumindest vorerst auf einen anderen Browser setzen. Bleibt zu hoffen, dass es niemandem gelingt die Lücke in größerem Rahmen auszunutzen, oder Microsoft sich doch dazu entschließen kann, das versprochene Update vor dem nächsten offiziellen Patch Day - der für den 13. Dezember geplant ist - zu veröffentlichen. (red)