Am Dienstag ist eine Zero-Day-Lücke im Internet Explorer 7 aufgetaucht, durch die sich Malware auf Systeme einschleusen und auszuführen lässt. Kriminellen ist das Leck, das unterdessen auch von
Microsoft bestätigt
ist, scheinbar bereits seit Oktober bekannt. Das berichtet zumindest der Sicherheitsdienstleister iDefense, der das Problem genauer untersucht
hat.
Die Situation ist gegenwärtig äusserst prekär: Für die Lücke im IE7 gibt es nämlich noch keinen Patch, der Exploit-Code wurde zu früh veröffentlicht. Chinesische Sicherheits-Experten gingen davon aus, dass die Lücke mit dem letzten Patchday von Microsoft geschlossen wird und haben den Code deshalb freigegeben. Dem war aber, wie wir nun wissen, nicht so.
Mit entsprechend gestalteten HTML-Dokumenten können Hacker durch die IE7-Lücke Trojaner auf Systeme einschleusen und beliebigen Programmcode ausführen. Betroffen von der Sicherheitslücke im Internet Explorer 7 sind die Betriebssysteme Windows XP, Windows Vista sowie Windows Server 2003 und 2008. Wann es von Microsoft einen Patch dafür gibt, ist noch unklar. Der "Protected Mode" für den IE7 unter Vista begrenzt laut Microsoft das Schadpotential, erste Security-Software-Hersteller wie
McAfee haben entsprechende Signaturen für ihre Produkte veröffentlicht.
(mv)