Erneut Sicherheitslücke im Internet Explorer
Nachdem der Internet Explorer bereits vor wenigen Tagen durch eine kritische Sicherheitslücke von sich reden machte, ist nun erneut ein Problem bekannt geworden, welches Angreifern das Ausführen von beliebigem Programmcode ermöglicht. Die am Montag veröffentlichte Preview von Version 7.0 Beta 2 ist diesmal nicht betroffen.
Entdeckt wurde die neue Sicherheitslücke von Secunia. In dem Advisory wird diese als „höchst kritisch“ eingestuft, da der Angreifer nachweislich die Kontrolle über das System des Anwenders übernehmen kann. Lediglich die Anfang der Woche veröffentliche Version „7.0 Beta 2 Preview March Edition“ ist laut Microsofts Security Blog nicht betroffen, die „7.0 Beta 2 Preview January Edition“ hingegen schon.
Die Sicherheitslücke kann ausgenutzt werden, indem man die „createTextRange()“-Funktion auf Radio-Buttons anwendet. Weitere Details werden jedoch vorerst zurückgehalten, um das Risiko für die Anwender und den Druck auf Microsoft in Grenzen zu halten. Der Softwaregigant hat bereits angekündigt, noch vor dem nächsten Patchday im April ein separates Update zur Verfügung zu stellen.
Wann Microsoft die beiden anderen, in den vergangenen Tagen gefundenen Sicherheitslücken beheben wird, ist noch unklar. Zum Einen gab es die eingangs erwähnte, Ende der vergangenen Woche von Michal Zalewski entdeckte, Sicherheitslücke, die unter Verwendung mehrerer Tausend Event-Handler den Browser zum Absturz bringen kann und angeblich auch das Ausführen von beliebigem Code ermöglicht.
Zum Anderen hat der Niederländer Jeffrey van der Stad vor wenigen Tagen eine weitere – mittlerweile von Microsoft bestätigte – Sicherheitslücke gefunden und berichtet darüber auf seiner Homepage „The grasshopper vulnerability“. Im Gegensatz zu Michal Zalewski kooperiert Jeffrey van der Stad mit Microsoft und hat Details zu der Sicherheitslücke von seiner Website entfernt.
Insgesamt existieren somit derzeit drei Sicherheitslücken in einer voll gepatchten Version 6.0 des Internet Explorer, für die Microsoft noch keinen Patch bereitgestellt hat. Die Redmonder haben bisher nur für die von Secunia entdeckte Sicherheitslücke einen außer der Reihe verfügbaren Patch für den Internet Explorer 6.0 angekündigt.
Version „7.0 Beta 2 Preview March Edition“ ist hingegen zumindest gegen die von Secunia und Michal Zalewski gefundenen Sicherheitslücken immun. Ob auch die von Jeffrey van der Stad gefundene Sicherheitslücke der „March Edition“ nichts anhaben kann ist mangels verfügbarer Details unklar.