Internet Explorer: Zweiter inoffizieller Sicherheits-Patch
Patch von Microsoft weiterhin erst für den 11. April erwartet
Außer von dem Sicherheitsunternehmen eEye erhalten Nutzer des Internet Explorer auch von Determina Hilfe, um das bislang von Microsoft nicht geschlossene Sicherheitsleck im Browser zu schließen. Auch der Patch von Determina soll Angriffe verhindern und wird ausdrücklich als Übergangslösung bezeichnet.
Der nun von Determina bereitgestellte Sicherheits-Patch für den Internet Explorer ersetzt keinerlei Dateien auf der Festplatte. Stattdessen wird eine modifizierte dll-Datei in den Speicher geladen, die fortan statt der Original-dll verwendet wird. Damit sollen die durch den JavaScript-Befehl createTextRange() möglichen Angriffe verhindert werden. Auch das IT-Sicherheitsunternehmen eEye bietet einen inoffiziellen Patch für den Internet Explorer an.
Nach wie vor plant Microsoft, den fälligen Sicherheits-Patch für den Internet Explorer am kommenden Patch-Day, dem 11. April 2006, zu veröffentlichen. Die Sicherheitslücke steckt im Internet Explorer ab der Version 5.01; lediglich die aktuelle Vorabversion vom Internet Explorer 7 weist den Fehler nicht auf.
Das für IT-Sicherheitsfragen zuständige SANS Institute sieht keine Notwendigkeit, eine der inoffiziellen Patches einzuspielen. Als wirksamer Schutz wird die Abschaltung von Active Scripting im Internet Explorer oder die Verwendung eines anderen Browsers empfohlen. Damit seien Anwender in der Lage, sich ausreichend gegen mögliche Angriffe zu schützen. Derzeit sei die reale Gefahr durch die Sicherheitslücke im Internet Explorer allerdings nicht sehr hoch, meint das SANS Institute.
Vor weniger als einer Woche wurde eine Sicherheitslücke im Internet Explorer bekannt, über die Angreifer beliebigen Programmcode auf fremde Systeme schleusen können. Kurze Zeit später wurde bereits Schadcode im Internet entdeckt, der sich das Sicherheitsleck in dem JavaScript-Befehl createTextRange() zu Nutze macht. Nur einige Tage später warnte Microsoft davor, dass zahlreiche Webseiten ausfindig gemacht wurden, auf denen sich Schadcode eingenistet hat.
Eine mit dem aktuellen Fall vergleichbare Situation gab es bereits Anfang 2006, als ein Sicherheitsexperte einen Patch zur Beseitigung der WMF-Sicherheitslücke in Windows bereitgestellt hatte. Dieser inoffizielle Patch erschien eine knappe Woche, bevor Microsoft außerhalb des regulären Patch-Days einen Sicherheits-Patch veröffentlicht hat. Damals konnte bereits die Anzeige von WMF-Bildern genügen, um Opfer einer Attacke zu werden.
Und genau das ist beabsichtigt. Ist doch eine tolle Sache, oder? Zumindest für die...
"The source code of the Shield is included in the download for review by any independent...