Internet Explorer nach Patch immer noch verwundbar

Microsoft hat gegenüber heise Security bestätigt, dass das letzte Update MS05-001 für den Internet Explorer wohl doch nicht alle Schwachstellen geschlossen hat.

Der Sicherheitsdienstleister GeCAD hatte darauf hingewiesen, dass sich das fehlerhafte ActiveX Object HTML Help Control (HHCTRL) trotz Patch weiterhin ausnutzen lässt, um beliebige Dateien aus dem Netz zu installieren und auszuführen.

Allerdings sind nach dem Patch nur noch Windows XP mit Service Pack 1 und Windows 2000 mit Service Pack 4 verwundbar. Weitere Angaben will GeCAD zu der Lücke nicht veröffentlichen, man habe aber einen Proof-of-Concept-Exploit entwickelt. GeCAD ist nach dem Verkauf seiner Antivirenabteilung an Microsoft weiterhin im Security Consulting tätig.

Microsoft arbeitet nun nach eigenen Angaben an dem Problem. Allerdings ist derzeit strittig, ob es sich um eine neue Schwachstelle handelt oder die alte Lücke im Control nicht vollständig geschlossen wurde. Tatsache ist, dass der verfügbare Patch den Internet Explorer 6 gegen die im Moment kursierenden Exploits immun macht. Laut Advisory von GeCAD habe Microsoft aber den Patch genau auf diesen Exploit zugeschnitten. Gegen einen veränderten Exploit helfe das Update nicht. Microsoft hingegen geht von einer neuen Lücke aus. Ob die Schwachstelle schon zum nächsten Patch-Day im Februar geschlossen wird, konnte Microsoft bislang nicht sagen.

Anwender der betroffenen Windows-Versionen sollten bis zum Erscheinen eines Patches ActiveX deaktivieren. Grundsätzlich bietet ActiveX aber immer ein Einfallstor für Schadcode und sollte gegebenenfalls deaktiviert bleiben. Einige Webseiten funktionieren dann aber nicht mehr fehlerfrei.

Quelle: heise online vom 25.01.2005 11:39, www.heise.de/newsticker/meldung/55502