08. Nov 2004 08:31
Microsoft hat für den morgigen Dienstag erneut mehrere Sicherheitsupdates für Windows angekündigt. Eine schwerwiegende Lücke im Internet Explorer bleibt weiterhin offen.
Wie das IT-Fachblatt «c't» berichtet, bieten diese am Freitag erstmals durchgeführten Ankündigungen allerdings keinen Grund zur Freude: Zwar will Microsoft ein «wichtiges» Problem mit seiner Firewall-Software «ISA» lösen, lässt aber eine zentrale Sicherheitslücke im marktführenden Web-Programm Internet Explorer offen. Dieses lässt sich in Windows-Versionen (2000, XP) vor dem jüngsten «Service Pack 2» mit einer einfachen HTML-Datei austricksen - ein Angreifer könnte einen Benutzer auf eine Internet-Seite locken, auf der allein das Laden einer manipulierten Seite dazu führt, dass die Hacker den Rechner fernsteuern können. Ein so genannter «Exploit», eine Ausnutzung der Lücke, wurde zu Demonstrationszwecken bereits veröffentlicht.
Neben dem so genannten «IFRAME»-Problem berichtet «c't» noch über ein weiteres Sicherheitsproblem im Internet Explorer, das ebenfalls beim «Patchday» am Dienstag nicht geschlossen werden soll. Auch hier könnte ein Angreifer (etwa Viren und Würmer) einen Rechner potenziell übernehmen; allerdings ist zuvor ein «Drag & Drop»-Vorgang samt Mausklick notwendig. Die Lücke soll bereits von einem Trojanischen Pferd ausgenutzt werden, hieß es aus IT-Sicherheitskreisen.Es ist unklar, ob Microsoft Fehlerbereinigung für beide Lücken am Dienstag kurzfristig doch nocht bereitstellt. Am Montag war eine entsprechende Ankündigung auf den Microsoft-Sicherheitsseiten noch nicht zu finden, allein das Problem bei der Firewall «ISA» wurde dort angekündigt.
