Sicherheitsunternehmen springt für Microsoft in die Bresche
Während Microsoft noch daran bastelt, eine vergangene Woche entdeckte Sicherheitslücke im Internet Explorer zu schließen, bietet ein Sicherheitsunternehmen bereits einen vorläufigen Patch für den Browser an. Durch den Patch sollen Angriffe ausgeschlossen werden, ohne Active Scripting im Internet Explorer abschalten zu müssen. Auf zahlreichen Webseiten wurde bereits Schadcode gefunden, um das Sicherheitsloch auszunutzen.
Vor weniger als einer Woche wurde eine Sicherheitslücke im Internet Explorer bekannt, über die Angreifer beliebigen Programmcode auf fremde Systeme schleusen können. Kurze Zeit später wurde bereits Schadcode im Internet entdeckt, der sich das Sicherheitsleck in dem JavaScript-Befehl createTextRange() zu Nutze macht.
Nur einige Tage später warnte Microsoft bereits davor, dass zahlreiche Webseiten ausfindig gemacht wurden, auf denen sich Schadcode eingenistet hat. Im Zuge dessen arbeitet Microsoft nach eigenen Angaben mit Partnern und Strafverfolgungsbehörden zusammen, um die betreffenden Webseiten abzuschalten. Parallel dazu laufen bereits die Arbeiten an einem Patch für den Internet Explorer.
Zur Umgehung der Sicherheitslücke im Internet Explorer empfiehlt Microsoft, Active Scripting abzuschalten, was dann aber die Funktionstüchtigkeit des Browsers beeinträchtigen kann, weil sich Webseiten unter Umständen nicht mehr vernünftig bedienen lassen. Mit einem inoffiziellen Patch für den Internet Explorer will eEye vor allem die Nutzer ansprechen, die aus verschiedenen Gründen Active Scripting nicht deaktivieren können. Der Patch wird von eEye ausdrücklich als Übergangslösung betrachtet. Der Patch soll die unerlaubte Ausführung von Programmcode unterbinden, kann aber nicht verhindern, dass der Speicher bei einem Angriff überläuft und den Rechner somit aus dem Tritt bringen kann.
Gegenüber dem US-News-Magazin CNet.com betonte Microsoft, dass dieser Patch noch nicht geprüft wurde und daher keine Empfehlung zur Einspielung des Patches gegeben wurde. Microsoft-Recherchen hätten ergeben, dass die Verbreitungsrate des Schadcodes derzeit begrenzt sei. Daher sei die reale Gefahr für Kunden nur gering, erklärte Microsoft gegenüber CNet.com. Der von eEye bereitgestellte Patch wird automatisch von dem zu erwartenden Patch aus dem Hause Microsoft überschrieben.
Im Zuge der Patch-Bereitstellung hat eEye weitere Details zu der Sicherheitslücke bekannt gegeben. Bislang stand nur fest, dass der Internet Explorer 6 unter Windows 2000 und XP von dem Problem betroffen ist. Nach eEye-Angaben steckt das Sicherheitsloch generell im Internet Explorer ab der Version 5.01 und das Sicherheitsleck schlägt auf allen Windows-Plattformen zu, was auch Windows XP mit Service Pack 2 einschließt. Lediglich die aktuelle Vorabversion vom Internet Explorer 7 weist den Fehler nicht auf.
Weiterhin ist unklar, wann Microsoft einen Sicherheits-Patch für den Internet Explorer veröffentlichen wird. Der Konzern peilt den 11. April 2006 an, den kommenden Patch-Day, schließt aber nicht aus, bereits vorher eine Fehlerbereinigung für den Browser zu veröffentlichen. Möglicherweise sorgt der nun von eEye veröffentlichte Patch dafür, dass Microsoft zügiger den Fehler im Internet Explorer beseitigt.
Einen ähnlichen Fall gab es bereits Anfang 2006, als ein Sicherheitsexperte einen Patch zur Beseitigung der WMF-Sicherheitslücke in Windows bereitgestellt hatte. Dieser inoffizielle Patch erschien eine knappe Woche, bevor Microsoft außerhalb des regulären Patch-Days einen Sicherheits-Patch angeboten hatte. Damals konnte bereits die Anzeige von WMF-Bildern genügen, um Opfer einer Attacke zu werden.
Zum Patch: http://www.eeye.com/html/research/alerts/AL20060324.html
Quellen: http://www.golem.de und http://www.windows-tipps-hilfe.de