Active-X zerschießt Microsoft-Browser

EnterpriseSicherheit

Sicherheitsloch im Internet Explorer bringt Zertifikate in Gefahr

Im Bulletin MS02-48 warnt Microsoft vor einer neuen Sicherheitslücke in seiner Browser-Software Internet Explorer. Betroffen sind Anwender, die Active-X-Komponenten aktiviert haben und ihre Ausführung unbegrenzt zulassen.

Der Hersteller aus Redmond bezeichnet das Loch als kritisch und empfiehlt, möglichst schnell einen bereitgestellten Patch zu installieren, der den Durchschlupf abdichtet. Betroffen sind die Betriebssysteme Windows 98, 98 Second Edition, Millenium, NT 4.0, 2000 und XP.

Die schadhafte Stelle ermöglicht DOS-Attacken (Denial of Service). Ein Angriff setzt Verschlüsselungsdienste außer Kraft. Ein befallenes Active-X-Modul löscht alle zur Kryptografie benötigten Zertifikate, auch die im Explorer enthaltenen für die SSL-Verschlüsselung (SSL = Secure Socket Layer). Den Prozess auslösen kann der Besuch auf einer infizierten Site aber auch durch das Öffnen einer HTML-Mail.