Patch für neue Lücke im Internet Explorer

Inoffiziell
28.03.2006

Für die jüngste Sicherheitslücke des Internet Explorer von Microsoft gibt es einen Patch, allerdings nicht von MS selbst.

EEye Digital Security, Anbieter von Sicherheitssoftware, hat auf seiner Website einen innoffiziellen Patch bereitgestellt. Dieser ersetze zwar nicht den offiziellen, so eEye, soll aber die Zeit bis zum Release des MS-Patches überbrücken.

Der Patch schließt die jüngst entdeckte Lücke in der JavaScript-Funktion "createTextRange()". Seit seiner Entdeckung versuchen laut Websense bereits über 200 Websites Rechner mit Trojanern oder Spyware zu infizieren.

Letzter Ausweg vor offiziellem Patch

Der Patch soll laut eEye nur als letzter Ausweg installiert werden, vor allem wenn die ActiveX-Controls nicht deaktiviert werden können.

Das ist bisher Microsofts einziger Rat, um die mögliche Infizierung eines Systems zu verhindern.

Microsoft will eigenen Patch vorziehen

Microsoft selbst empfiehlt nicht, den Patch zu installieren. Man habe ihn noch nicht testen können, so ein Mitarbeiter des Microsoft Security Response Center.

Die Nutzer sollten die möglichen Risiken abwägen, bevor sie so etwas in ihr System einfügen, so der MS-Mitarbeiter. Microsoft erwäge bereits einen eigenen Patch außerhalb des monatlichen Patch-Tages, der nächste ist am 11. April, anzubieten.

Nutzer helfen sich zunehmend selbst

Der Patch von eEye ist bereits der zweite Fall, bei dem sich Nutzer von MS-Software bei Sicherheitslücken einfach selbst geholfen haben. Bei der WMF-Lücke etwa stellte der russische Programmierer Ilfak Gilfanow ebenfalls einen selbst gebastelten Patch zur Verfügung, der sogar von Herstellern von Sicherheitssoftware empfohlen wurde.

Diesmal allerdings ist die allgemeine Reaktion vorsichtiger. Man könne, anders als bei der WMF-Sicherheitslücke, über die Deaktivierung der ActiveX-Controls die Bedrohung umgehen, so ein Sprecher des SANS-Instituts.

(futurezone | CNet)