Kritische Lücke im Internet Explorer 7

Die Zero-Day-Lücke im IE7 wurde durch ein Missverständnis bekannt und wird vermutlich bereits seit Oktober ausgenutzt.
12. Dezember 2008

     

Am Dienstag ist eine Zero-Day-Lücke im Internet Explorer 7 aufgetaucht, durch die sich Malware auf Systeme einschleusen und auszuführen lässt. Kriminellen ist das Leck, das unterdessen auch von Microsoft bestätigt ist, scheinbar bereits seit Oktober bekannt. Das berichtet zumindest der Sicherheitsdienstleister iDefense, der das Problem genauer untersucht hat.



Die Situation ist gegenwärtig äusserst prekär: Für die Lücke im IE7 gibt es nämlich noch keinen Patch, der Exploit-Code wurde zu früh veröffentlicht. Chinesische Sicherheits-Experten gingen davon aus, dass die Lücke mit dem letzten Patchday von Microsoft geschlossen wird und haben den Code deshalb freigegeben. Dem war aber, wie wir nun wissen, nicht so.




Mit entsprechend gestalteten HTML-Dokumenten können Hacker durch die IE7-Lücke Trojaner auf Systeme einschleusen und beliebigen Programmcode ausführen. Betroffen von der Sicherheitslücke im Internet Explorer 7 sind die Betriebssysteme Windows XP, Windows Vista sowie Windows Server 2003 und 2008. Wann es von Microsoft einen Patch dafür gibt, ist noch unklar. Der "Protected Mode" für den IE7 unter Vista begrenzt laut Microsoft das Schadpotential, erste Security-Software-Hersteller wie McAfee haben entsprechende Signaturen für ihre Produkte veröffentlicht. (mv)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER