Nutzer von Internet Explorer 6, 7 und 8 werden von Microsoft vor einer Zero-Day-Lücke gewarnt. Das Sicherheitsunternehmen Symantec erklärt, dass das Sicherheitsleck bereits aktiv ausgenutzt werde um Windows-Systeme mit Malware zu infizieren. Für die Infizierung soll eine Mail mit Link zu einer manipulierten Webseite gesorgt haben.
Fehler
Verantwortlich für den Fehler zeigt sich die fehlerhafte Verarbeitung beim Parsen von CSS in HTML-Dokumenten. Bestimmte Zeiger ließen sich so manipulieren um Schadcode in Windows einzuschleusen.
Problemlösung
Microsoft arbeitet bereits an einem Patch, allerdings nicht mit höchster Priorität, dafür ist die Lücke vermutlich noch zu unbekannt. Auch sei der Exploit noch nicht öffentlich. Der Softwarekonzern empfiehlt stattdessen die Aktivierung der Datenausführungsverhinderung (DEP) unter Windows 7, Vista und XP. Während DEP beim Internet Explorer 8 bereits standardmäßig aktiv sei, wird für IE7-Nutzer der Download des Fix-it-Tools empfohlen, um DEP nachträglich einzuschalten. Unter IE6 laufen durch die Software entsprechende Attacken ins Leere. (red)