Nachdem innerhalb kurzer Zeit zwei Sicherheitslücken im Internet Explorer von Microsoft bekannt wurden, arbeitet der Softwaregigant fieberhaft daran, ein Update für den Internet Explorer fertig zu stellen, um die Lücken zu stopfen. Eine der Schwachstellen kann von Angreifern dazu genutzt werden, die Kontrolle über den PC eines Anwenders zu erlangen.


"Wir arbeiten an einem Update für den Internet Explorer, das gegenwärtig in der Testphase ist und bereits im April zur Verfügung stehen könnte", so Stephen Toulouse, Security Program Manager bei Microsofts Security Response Center. Einen festen Termin gibt es aber noch nicht.

Die schwerwiegendere der beiden Lücken wurde am Anfang des Monats von einem Entwickler namens Jeffrey van der Stad entdeckt. Er hatte einen Weg gefunden, wie Angreifer den Internet Explorer dazu bringen können, eine HTA (HTML-Anwendung) auszuführen, ohne das dies vom Anwender autorisiert wurde. Die Rechner von potenziellen Opfern könnten beispielsweise beim Besuch einer speziell präparierten Website kompromittiert werden, so van der Stad. "Mit einer speziell entwickelte Website ist es möglich, so eine Datei ohne Prompt auszuführen."

Van der Stad hat keine technischen Einzelheiten zu dem von ihm als " Grasshopper " bezeichneten Bug veröffentlicht. Seinen Ausführungen zufolge war es Microsoft aber möglich, das Problem nachzustellen und das Unternehmen hofft, die Lücke beim nächsten Update zu schließen, so van der Stad.

Wie gefährlich ist die Lücke?

Stellen sie es sich als eine Art ausführbares Programm vor, kommentierte Russ Cooper, Senior Information Security Analyst bei Cybertrust, die Lücke. Was die Einstufung der Lücke angeht, hält Cooper es aber für unwahrscheinlich, dass der Bug in größerem Stil ausgenutzt wird. Insbesondere die Schwierigkeiten, einen Nutzer zunächst auf eine manipulierte Website zu locken, um ihm dann dort den Code unterzuschieben, sprechen seiner Meinung nach dagegen.

Stephen Toulouse wollte dagegen nicht kommentieren, für wie gefährlich Microsoft die Lücke hält, da er Angreifer mit keinerlei Zusatz-Informationen versorgen will, bevor nicht ein Update verfügbar ist. Der Sicherheitsexperte wollte auch nicht sagen, ob die Lücke bereits bei der nächsten Patchrunde von Microsoft, die für den 11. April geplant ist, vom Tisch sein könnte.

Neben der genannten HTA-Schwachstelle ist Microsoft dabei, eine andere Schwachstelle dicht zu machen, wie in einem Blog bei Microsoft bestätigt wurde. Der Bug kann den Browser zum Absturz bringen, entsprechender Code ist bereits publiziert worden. Da der Bug aber lediglich für den Absturz des Browser genutzt werden kann, wird die Lücke von Sicherheitsexperten derzeit als nicht kritisch eingestuft.

Links:
- Quelle: PC-Welt
- Microsoft Blog