Microsoft warnt vor kritischer Lücke im Internet Explorer

Microsoft warnt nun in einem Advisory vor einer noch offenen Sicherheitslücke im Internet Explorer. Für die in der vergangenen Woche durch die Sicherheitsexperten von Vupen bekannt gewordene Schwachstelle in dem Browser ist mittlerweile ein Exploit verfügbar.

Die Sicherheitslücke kann ausgenutzt werden, um Schadcode auf dem Rechner auszuführen. Nach Angaben von Vupen kann ein Angreifer unter Umständen die komplette Kontrolle über ein verwundbares System übernehmen. Dazu muss der Nutzer lediglich eine entsprechend präparierte Webseite im Internet Explorer öffnen.

Die Schwachstelle steckt in der Programmbibliothek mshtml.dll. Der Fehler tritt auf, wenn Webseiten mit Cascading Style Sheets (CSS) verarbeitet werden, in denen bestimmte "@import"-Referenzen enthalten sind. Nach Angaben von Microsoft sind die Internet-Explorer-Versionen 6, 7 und 8 unter sämtlichen Windows-Versionen verwundbar.

Abhilfe soll der geschützte Modus des Internet Explorers schaffen. Schadcode wird dann nur mit limitierten Rechten ausgeführt und kann weniger Schaden anrichten. Das ist auch dann der Fall, wenn sich der Nutzer an seinem Rechner nicht als Administrator sondern mit beschränkten Rechten anmeldet.

Microsoft sind eigenen Angaben zufolge noch keine Fälle bekannt, in denen die Sicherheitslücke aktiv ausgenutzt wird. Sicherheitsexperten warnen aber, dass die Schwachstelle bald im großen Stil ausgenutzt werden könnte. Links zu präparierten Webseiten könnten etwa via Spam-Mails verteilt werden. Microsoft arbeitet derzeit an einem Patch für die Sicherheitslücke. Der Softwarekonzern hat aber noch nicht entschieden, ob dieser außer der Reihe oder erst am nächsten regulären Patchday (11. Januar 2011) veröffentlicht wird.