(20.09.03) - Wie heise online heute meldet, hat man eine gerade im betrieblichen Einsatz extrem gefährliche Schwachstelle im Internet Explorer aufgespürt.

Das Internet lebt von Verlinkungen. Clicken Sie nun auf so einen Link so erwarten Sie nichts anderes als eine neue Site mit den gewünschten Informationen zu sehen. Doch kann es dabei ein böses Erwachen geben. Denn eine Sicherheitslücke in Microsofts Internet Explorer birgt die Gefahr, dass völlig unbemerkt und ohne weitere Nachfragen ein Programm aus dem Internet herunter geladen, auf Ihrem Rechner installiert und vor allem auch gleich ausgeführt wird.

Das kann ein freundlicher Virus sein, der Ihre Festplatte löscht oder ein netter Dialer, der ihre Internetverbindung auf eine 0190er Nummer umleitet und Sie so um einige hundert oder tausend Euro erleichtert.

Im Sicherheitslabor des Heise Verlages wurde diese Fehlfunktion sowohl mit den Internet Explorer Versionen 6.0 und 5.x festgestellt, obwohl alle von Microsoft zur Verfügung gestellten Sicherheitspatches aufgespielt waren.

Ursache des Problems ist lt. Heise die ungenügende Absicherung des <Object>-Tags, über das ActiveX-Komponenten aufgerufen werden. Diesem Tag könne eine Bezugsquelle für das Objekt als URL übergeben und dabei die Sicherheitsmechanismen des Internet Explorer umgangen werden. Ähnliche Probleme mit ActiveX gibt es lt. Heise seit mindestens drei Jahren. Microsoft stellt immer wieder Patches bereit, nach deren Einspielen die aktuellen Exploits nicht mehr funktionieren. Einige Zeit später tauchten jedoch immer wieder neue Variationen auf, die demonstrierten, dass Microsoft die Lücke doch nicht richtig geschlossen hat. Für die aktuelle Variante gibt es derzeit noch keinen Patch von Microsoft.

Da diese gravierende und für ein Unternehmen existenzbedrohende Lücke (wenn alle Daten gelöscht werden) von Microsoft auch nach drei Jahren noch nicht abgestellt werden konnte ist wohl auch nicht davon auszugehen, dass dies in Kürze geschehen wird. Es ist daher dringend der Umstieg auf andere Browser wie z.B. Opera anzuraten, die zwar kostenpflichtig sind, aber wie heißt es so schön: You get what you pay for.