Redmond - Microsoft hat auf Hinweise des
"Bug-Jägers" Greg Guninski reagiert und warnt in einem Bulletin vor einer
Sicherheitslücke im Internet Explorer 5.01 und 5.5. Durch eine
Modifikation des so genannten MIME (Multipurpose Internet Mail
Extensions)-Headers einer HTML-Mail führt der Browser angehängte Dateien
automatisch aus. Ein Bug, den sich Hacker zu Nutze machen können, um
Viren zu verpflanzen oder E-Mails auszuspionieren.
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Der MIME-Header definiert, welche Art von Datei einer HTML-E-Mail
anhängt. Der IE rendert die Datei dann entsprechend dieser Information
und kontrolliert nicht, um welche Datei – etwa eine .exe-Datei - es sich
handelt. Wenn Hacker den MIME-Header so manipulieren, dass Dateien ohne
nachzufragen ausgeführt werden, können sie sogar Attachments mit allen
Benutzerrechten anfügen und damit Daten ausspionieren.
Gegen den Bug in der Version 5.01 hilft laut Microsoft der Servicepack 2.
Er steht unter http://www.microsoft.com/windows/ie/download/ie501sp2.htm
zum Download im Netz. Für den IE 5.5 wird empfohlen, in den
Sicherheitseinstellungen die Downloadfunktion zu deaktivieren. Außerdem
wird ein Patchfile angeboten:
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
Für frühere IE-Versionen stellt der Softwarekonzern keinen Support mehr
zur Verfügung.
