17. März 2006:

Ungepatchtes Leck im Internet Explorer

Wer die leicht bekleidete, dunkelhaarige Schönheit mit den schwarzen Boxhandschuhen ansurfen und betrachten möchte, sollte einen anderen Browser als den Internet Explorer aus dem Hause Microsoft benutzen. Das Bild der Dame, das die sinnige Unterschrift „Hello cruel world“ trägt, befindet sich nämlich auf einer Webseite, die der polnische Sicherheitsexperte Michal Zalewski eingerichtet hat. Er will mit dieser Seite ein von ihm entdecktes Sicherheitsleck im Internet Explorer demonstrieren. Wer die präparierte Webseite mit dem Internet Explorer ansurft, dessen Browser stürzt regelmäßig ab. Ein Sicherheitsflicken aus dem Hause Microsoft, der diese neue Sicherheitslücke stopfen könnte, ist derzeit nicht in Sicht.

Der monatliche Patch-Tag ist vorbei
Letzten Dienstag war Patch-Tag bei Microsoft. Etliche schwer wiegende Sicherheitslecks vornehmlich in Microsofts Officepaket und hier vor allem in den Programmen Excel und Word wurden geflickt. Sie alle hätten einem Angreifer die Möglichkeit geboten, schädlichen Programmcode in die Rechner der Office-Nutzer zu schmuggeln und dort auszuführen. Ein Angreifer hätte auf diesem Wege die Möglichkeit gehabt, die alleinige Regie im fremden Rechner zu übernehmen und dort nach Belieben zu schalten und zu walten. Eine ähnliche Wirkung hat auch das Sicherheitsleck, das Michal Zalewski wenige Tage nach dem monatlichen Patchday im Internet Explorer entdeckt hat.

onclick=bork
Das neuerliche Sicherheitsleck des Internet Explorer steckt in der Komponente mshtml.dll. Diese Komponente ist unter anderem für die Verarbeitung so genannter Script-Action-Handler zuständig, die meist in Form von Attributen beliebigen HTML-Tags zugewiesen werden können. Auf der Webseite, die Michal Zalewski zu Demonstrationszwecken ins Netz gestellt hat, wird der Event-Handler onclick benutzt. Zalewski bringt den Internet Explorer zum Absturz, bevor das Bild der boxenden Dame vollständig angezeigt wird, indem er an ein beliebiges HTML-Tag als Attribut „onclick=bork“, also eine Fantasieanweisung, hängt. Es müssen dabei noch nicht einmal existierende HTML-Tags benutzt werden. Fantasie-Tags – Zalewski nimmt „“ - reichen aus. An diese Tags wird mehrere tausend Mal „onclick=bork“ gehängt, was der Internet Explorer regelmäßig ziemlich übel nimmt.

Bösartiger Code kann eingeschleust werden
Angreifer könnten diese Lücke im Browser aus Redmond nutzen, um bösartigen Programmcode in den Rechner einzuschleusen. Um dies zu erreichen genügt es, dass das potenzielle Opfer die manipulierte Webseite mit dem Internet Explorer ansurft. Wie sich der entdeckte Fehler konkret auswirkt, hängt allerdings von verschiedenen Faktoren ab, die Zalewski in seiner Sicherheitsmeldung eingehend beschreibt.

Auf andere Browser ausweichen
Betroffen ist – soweit ersichtlich - der Internet Explorer 6.0 unter Windows XP mit installiertem Service Pack 2. Ein Sicherheitsflicken, der diese Lücke schließen könnte, fehlte in der Flickensammlung des letzten Patch-Tages. Derzeit gibt es noch keine Möglichkeit, diesen Fehler auszubügeln. Es ist davon auszugehen, dass es nicht lange dauern wird, bis die ersten Webseiten online gehen, die den von Michal Zalewski beschriebenen Fehler ausnutzen werden. Internetnutzer, die auf Nummer sicher gehen wollen, sollten deshalb (übrigens nicht nur wegen des neuerlichen Sicherheitslecks) auf alternative Browser etwa von Mozilla (Firefox), Opera oder Netscape umsteigen. Die genannten Browser bieten nicht nur sichereres Surfen, sondern daneben etliche nützliche Zusatzfunktionen, von denen der Nutzer des Internet Explorers bisher nur träumen konnte.

Zurück zur News-Übersicht