Neue Lücke im Internet Explorer
Auf einschlägigen Webseiten ist ein Proof-of-Concept-Exploit für eine
bislang unbekannte Lücke im Internet Explorer aufgetaucht. Der Exploit
bringt den Browser zwar nur zum Absturz, allerdings weisen das Internet
Storm Center und das US-CERT darauf hin, dass sich über den Fehler sehr
wahrscheinlich auch Code in den Speicher eines Windows-PC schleusen und
ausführen lässt, genauere Analysen stehen aber noch aus.
Anzeige
Ursache des Absturzes ist ein Fehler im ActiveX-Control ADODB, einer
einheitlichen Schnittstelle zu verschiedenen Datenbanksystemen. Der Exploit
erzeugt ein neues ActiveX-Objekt und führt es mehrere Male aus. Dabei kommt
es offenbar zu einem Speicherproblem. Betroffen ist der Internet Explorer 6
und in einigen Fällen der Internet Explorer 7. Allerdings ließ sich das
Problem beim Internet Explorer 7 in ersten Tests nicht auf
unterschiedlichen Systemen reproduzieren. So zeigte sich der Internet
Explorer 7 unter Vista RC2 in den Standardeinstellungen völlig
unbeeindruckt von dem Exploit. Allerdings können hier auch die sicheren
Voreinstellungen den Absturz verhindert haben. Auf einen Windows XP SP2
stürzte die finale Version des Internet Explorer 7 hingegen ab.
Microsoft untersucht den Fehler bereits, hat allerdings noch keine Lösung
vorgeschlagen. Das US-CERT schlägt indes vor, ActiveX zu deaktivieren oder
das Kill-Bit für das verwundbare Control zu setzen. Dazu muss in der
Registry unter der CLSID (00000514-0000-0010-8000-00AA006D2EA4) des
Controls ein Schlüssel verändert werden. Wie man Kill-Bits setzt, zeigt ein
Knowledge-Base-Artikel von Microsoft: How to stop an ActiveX control from
running in Internet Explorer. Unerfahrene Anwender sollten von diesem
Workaround allerdings Abstand nehmen und lieber ActiveX im Internet
Explorer komplett deaktivieren oder einen anderen Browser einsetzen.
Schon Ende September entwickelte sich eine zuvor als unkritisch eingestufte
DoS-Lücke im WebView-ActiveX-Control im Internet Explorer zu einem
Riesenloch. Auch hier half es bis zum Erscheinen eines offiziellen Patches,
das Control einfach zu deaktivieren.
