Am Dienstag ist es soweit: Microsoft wird im Rahmen seines monatlichen so genannten «Patchday» erneut wichtige Sicherheitsupdates für Windows und seine Komponenten online stellen. Gleichzeitig führt der Softwarekonzern eine neue Informationspolitik ein - Nutzer sollen bereits in der Woche vor der Herausgabe der neuen Fehlerverbesserungen erfahren können, welche Probleme die Firma lösen will.

Wie das IT-Fachblatt «c't» berichtet, bieten diese am Freitag erstmals durchgeführten Ankündigungen allerdings keinen Grund zur Freude: Zwar will Microsoft ein «wichtiges» Problem mit seiner Firewall-Software «ISA» lösen, lässt aber eine zentrale Sicherheitslücke im marktführenden Web-Programm Internet Explorer offen.

Dieses lässt sich in Windows-Versionen (2000, XP) vor dem jüngsten «Service Pack 2» mit einer einfachen HTML-Datei austricksen - ein Angreifer könnte einen Benutzer auf eine Internet-Seite locken, auf der allein das Laden einer manipulierten Seite dazu führt, dass die Hacker den Rechner fernsteuern können. Ein so genannter «Exploit», eine Ausnutzung der Lücke, wurde zu Demonstrationszwecken bereits veröffentlicht.

Neben dem so genannten «IFRAME»-Problem berichtet «c't» noch über ein weiteres Sicherheitsproblem im Internet Explorer, das ebenfalls beim «Patchday» am Dienstag nicht geschlossen werden soll. Auch hier könnte ein Angreifer (etwa Viren und Würmer) einen Rechner potenziell übernehmen; allerdings ist zuvor ein «Drag & Drop»-Vorgang samt Mausklick notwendig. Die Lücke soll bereits von einem Trojanischen Pferd ausgenutzt werden, hieß es aus IT-Sicherheitskreisen.

Es ist unklar, ob Microsoft Fehlerbereinigung für beide Lücken am Dienstag kurzfristig doch nocht bereitstellt. Am Montag war eine entsprechende Ankündigung auf den Microsoft-Sicherheitsseiten noch nicht zu finden, allein das Problem bei der Firewall «ISA» wurde dort angekündigt.

Experten empfehlen, auf Browser-Alternativen wie Mozilla Firefox oder Opera umzusteigen. Den benutzerfreundlichen Open-Source-Browser Firefox gibt es ab dem 9. November in der endgültigen Version 1.0.

Für das Web ediert von Ben Schwan