Schadcode für IE-Lücke verfügbar

In einer Internet-Datenbank ist der Expoit-Code für die Sicherheitslücke in Internet Explorer aufgetaucht. Symantec hatte die vorher unbekannte Schwachstelle bei der Untersuchung von Angriffen auf Firmennetze entdeckt und Microsoft in Kenntnis gesetzt.

Das Unternehmen warnt vor der Schwachstelle und hat zwei Fix-it-Lösungen bereit gestellt, die Surfer vor Angriffen schützen sollen, die die genannte Lücke ausnutzen. Allerdings macht Microsoft keine Angaben dazu, ob man die Lücke für so ernst hält, dass man sie abseits des üblichen Patch-Zyklus schließen will. Im aktuellen November-Update ist kein Update für Internet Explorer enthalten.

Der Fehler liegt in jenem Teil von Internet Explorer, der CSS-Tags verarbeitet. Microsoft zufolge schützt die Datenausführungsverhinderung (Data Execution Protection, DEP) Internet Explorer davor, dass der Fehler ausgenutzt wird. In IE 8 ist sie ab Werk aktiviert, bei Version 7 greift eine der beiden Fix-it-Lösungen, die Microsoft bereitgestellt hat, indem sie die DEP aktiviert. Die zweite Fix-it-Lösung überschreibt die CSS-Formatvorlage mit einer sichereren Version.

Wer noch Internet Explorer 6 verwendet, sollte baldmöglichst auf eine aktuellere Version des Browsers umsteigen. Auch Microsoft drängt seine Kunden, eine neuere Version zu installieren. Der Browser habe bei seinem Erscheinen 2001 dem technischen Stand des Internet entsprochen, sei aber den Anforderungen des modernen Web heute nicht mehr gewachsen.