Auch Microsofts zweiter Browser-Patch bleibt wirkungslos

EnterpriseSicherheit

Microsoft hat offenbar auch beim zweiten Anlauf, ein Sicherheitsloch im Internet Explorer zu stopfen, geschlampt.

Microsoft hat offenbar auch beim zweiten Anlauf, ein Sicherheitsloch im Internet Explorer zu stopfen, geschlampt. Die Schwachstelle beim ‘Object Data Tag’ werde auch mit dem gerade veröffentlichten Patch nicht behoben. Darauf haben Teilnehmer des Online-Forums ‘http-equiv’ hingewiesen.
Microsoft selbst hatte in seinem Bulletin Nr. 32 die Gefahr als “kritisch” eingestuft. Der Browser prüft zwar, ob html-Dokumente ihren Header-Informationen zufolge als “sicher” einzustufen sind. Trotzdem werden Dateien akzeptiert, die selbständig Inhalte aus dem Web nachladen und diese danach innerhalb des IE ausführen. So sind bereits Exploits im Umlauf, die zusätzliche Elemente in den Browser integrieren und die Bookmark-Liste eigenständig erweitern.

Auch wenn diese Demonstrationen des Sicherheitslochs noch relativ harmlos erscheinen, ziehen Administratoren weltweit doch ihre Stirn in Falten. Denn Microsoft hatte bereits zuvor versucht, mit einem ersten Patch das Problem anzugehen. Dass auch die zweite Version keine Abhilfe schafft, lässt nicht nur an den Entwicklern in Redmond zweifeln, sondern auch an der Qualitätskontrolle sowie der Ernsthaftigkeit, mit der Microsoft seinen Browser pflegt.