Drag&Drop-Lücke im Internet Explorer

Wie heise Security berichtet, ist mal wieder ein Fehler im IE aufgetaucht. Ähnlich der Lücke aus dem Jahre 2004 ist auch hier wieder eine Benutzerinteraktion notwendig, was das ganze, so meinen zumindest die Redmonder, zu einem minderschweren Sicherheitsproblem macht. Demzufolge soll ein Patch zum Schließen dieser Lücke auch erst in Service Pack 3 für XP bzw. Service Pack 2 für Windows 2003 enthalten sein. Für Windows 2000 wird es sogar gar kein Patch geben.

Matthew Murphy, der Entdecker der Schwachstelle beschreibt übrigends drei WorkArounds, wie man sein System absichern kann:

1) Javascript aus
2) den Zugriff von Webseiten auf die lokale Zone beschränken
3) Kill-Bit auf das Shell.Explorer-Control setzten

Lösung 4 wäre übrigends ein Patch von Microsoft, aber darauf kann der User mal wieder warten bis er schwarz wird, was für mich mal wieder ein eindeutiger Grund ist, alternative Browser zu bevorzugen.

[via heise.de]

2 thoughts on “Drag&Drop-Lücke im Internet Explorer

Comments are closed.