Microsoft warnt erneut vor einer neuen Sicherheitslücke im Internet Explorer
In einem neu veröffentlichten Advisory warnt Microsoft vor einer Sicherheitslücke auf Basis von VBScript. Angreifer können darüber Schadcode ausführen und das System mit Malware infizieren oder private Daten abrufen. Betroffen sind allerdings nur die Versionen von Windows XP und Windows Server 2003, sowie ggfs. deren Vorgänger.
Zudem muss der Benutzer selbst aktiv werden, damit Angreifer die Sicherheitslücke ausnutzen können. Der Fehler steckt im Hilfesystem, welches vom Nutzer erst aktiv mit F1 aufgerufen werden muss. Erst dann kann die Webseite die Sicherheitslücke aktiv ausnutzen. Entsprechend warnt Microsoft die Nutzer auch, nicht auf Aufforderung hin die F1-Taste zu drücken. Darüberhinaus stehen auch weitere Möglichkeiten zum Selbstschutz zur Verfügung, welche allerdings auch mit Einschränkungen verbunden sind.
Der Nutzer kann beispielsweise das Hilfesystem generell einschränken, zumindest bis ein offizieller Patch zu der Sicherheitslücke veröffentlicht wurde. Hier ist lediglich folgender Befehl auf einer Kommandozeile auszuführen:
Damit die Berechtigung wieder korrekt gesetzt wird, muss dann nach Schließung der Sicherheitslücke der ursprüngliche Zustand wiederhergestellt werden:
Eine weitere Möglichkeit ist auch das Setzen der Sicherheitszonen für Intranet und Internet auf das Level Hoch. Hierdurch werden Active Scripting und ActiveX deaktiviert, was zu weiteren Einschränkungen bei Webseiten führen kann. Gleichzeitig wird jedoch generell eine höhere Sicherheit geboten.
Der Fehler sitzt direkt im Hilfesystem von Microsoft Windows, weshalb alle Versionen des Internet Explorers indirekt von der Sicherheitslücke betroffen sind. Voraussetzung ist lediglich die erlaubte Nutzung von Active Scripting und ActiveX Controls. Die Betriebssysteme Windows Vista, Windows 7 und Server 2008 sind nicht betroffen.
