Spoofing-Leck im Explorer gestopft

Die Gefahr für die Verbraucher hätte den Ausschlag für die vorgezogene Veröffentlichung gegeben, erklärte ein Microsoft-Sprecher. Doch werde das nicht oft der Fall sein. Normalerweise werden Updates am so genannten Patch-Day, jeweils der zweite Mittwoch eines Monats, gemacht. Die drei Fehler waren jeder für sich von Microsoft als Hoch eingestuft worden. Doch im Zusammenspiel erreichten die Fehler das Prädikat ‘kritisch’.

Der ‘Cross Domain’-Fehler sorgte dafür, dass durch das bloße Anzeigen einer HTML-Datei Skripte ausgeführt wurden, auch wenn diese aus einer nicht vertrauenswürdigen Seite kamen. Das Öffnen einer HTML-Mail reichte aus, die Skripte auszuführen, und so zum Beispiel zusätzlichen Code auf den Rechner zu laden.

So hätte ein Angreifer über einen Link etwa in einer Mail den User auf eine offiziell wirkende Seite leiten können. Durch einen Fehler stand in der Adresszeile des Browsers aber auch die passende URL. So hätte sich etwa über diesen ‘Phishing Flaw’ eine Seite in Pakistan als Versicherungs-Homepage ausgegeben. Die erschlichenen Daten, wie Bankverbindungen, sollten benutzt werden, um Konten ahnungsloser User abzuräumen. Mit dem neuen Patch werden voraussichtlich auch einige passwortgeschützte URLs nicht mehr funktionieren. Über eine selten genutzte Funktion konnten Benutzername und Passwort in einem Link gleich mit übertragen werden. Diese Feature ist jetzt deaktiviert.

Über einen anderen Fehler, der jetzt über das kumulative Patch abgedeckt wird, konnte ausführbarer Code als sicheres Dateiformat dargestellt werden. Über eine Sicherheitsanfälligkeit beim Ausführen von Drag & Drop-Vorgängen während DHTML-Ereignissen (Dynamic HTML) konnte ein Hacker über einen speziellen Link eine Datei auf dem angegriffenen Rechner abspeichern. Für den Download wurde kein Dialogfeld angezeigt. Auch wenn der User nicht auf diesen Link klickt, wird zwar kein Code ausgeführt, aber dennoch möglicherweise auf dem Computer abgespeichert.