IE mit neuem Sicherheitsleck

Laut dem polnischen Sicherheitsexperten Michal Zalewski kann der InternetExplorer über manipulierte bzw. fiktive Script-Action-Handlers zum Absturz gebracht werden oder, was noch fataler ist, sogar Programmcode ausgeführt werden. Letzteres ist allerdings von der besuchten Seite bzw. geladenen Extensions abhängig.

Der Fehler läßt sich übrigends sehr leicht provozieren, wie Michal Zalewski es auf einer Demoseite belegt. In dem dortigen HTML-Dokument verbergen sich einige 1000 „onClick“-Event-Handler, die reproduzierbar jeden IE (mit Außnahme der aktuellen Beta des 7ner) zum Absturz bringen. FireFox und Opera öffnen besagte HTML-Seite übrigends anstandslos.

Ein Patch oder Workaround ist bislang noch nicht verfügbar und da der monatlichem Patch-Day von Microsoft schon vorbei ist, wird es wohl auch noch ein paar Tage dauern, bis die IE User sich wieder in „relative“ Sicherheit wiegen können. Fragt sich also mal wieder, wer ist schneller: Microsoft oder die, die diese Lücke ausnutzen wollen.

Ich sags ja immer wieder gerne .. mit einem alternativen Browser wie FireFox wäre das nicht passiert .. :)

[via Golem.de]