Microsoft patcht Internet Explorer außer der Reihe

Microsoft hat am 30. Juli einen Patch für den Internet Explorer (IE) online gestellt, der drei Sicherheitslecks in der Software schließen soll. Das Unternehmen schätzte das Update mit der Bezeichnung MS04-25 als so wichtig ein, dass die Veröffentlichung außerhalb des monatlichen Patch-Zyklus erfolgte.
Für Verwirrung sorgte, das Redmond am 01. August den Patch als fehlerhaft bezeichnete und einen Patch für den Patch bereitstellte. Die endgültige Version des Updates MS04-25 ist gegenwärtig nur in einer englischen Fassung erhältlich. An einer deutschen Fassung wird noch gearbeitet.

Eine Lücke betraf ein ‘Cross-Site-Scripting’-Problem des IE. Hacker konnten die Schwachstelle ausnutzen und Websites erstellen, die die Ausführung von beliebigem Code ermöglichten, sobald ein IE-Anwender die Website besuchte. Der Code konnte auch in der ‘lokalen Zone’ des IE ausgeführt werden. War der Angegriffene mit Administratorrechten angemeldet, konnte der Angreifer die vollständige Kontrolle über das System erlangen.

Das zweite Leck trat bei der Anzeige von BMP-Bildformaten auf. Diese konnten einen Buffer Overrun (Pufferüberlauf) erzeugen. Die dritte Schwachstelle betraf die Verarbeitung einer speziell gestalteten GIF-Datei. Die Datei bewirkte, dass der Rechner versuchte, Speicher freizugeben, der bereits reserviert war und führte so zu einer Speicherbeschädigung.