Microsoft: Fix-it für neue Lücke

Während Secunia das Problem als wenig kritisch einschätzt, warnt Microsoft auf deutsch- und englischsprachigen Webseiten vor der Sicherheitslücke und rät seinen Kunden, die bereitgestellte Fix-it-Lösung zu installieren.

Dem Microsoft-Experten Michael Kranawetter zufolge liegt der Fehler im Protocol Handler für MHTML. Allerdings braucht es Internet Explorer, damit sich die Lücke ausnutzen lässt. Dann aber ist der PC in großer Gefahr: Klickt ein Nutzer auf einen manipulierten Link in einer Mail oder Chat-Nachricht, kann der Angreifer ein schädliches Skript im Browser laufen lassen. Der Angriff ähnelt dann einer Cross-Site-Scripting-Attacke, vertrauliche Informationen können so in fremde Hände gelangen.

Betroffen sind Windows XP, Vista und 7 sowie die Server-Varianten 2003 und 2008. Microsoft arbeitet an einer Lösung des Problems, hält es aber nicht für so kritisch, dass das einen Patch außer der Reihe rechtfertigen würde - obwohl der Code, der beweist, dass sich die Sicherheitslücke ausnutzen lässt, bereits im Internet verfügbar ist. Bis es ein Microsoft-Update gibt, sollen Kunden auf das Fix-it zurückgreifen, das Microsoft bereitstellt.