An diesem Wochenende ist eine neue Lücke im Internet Explorer aufgetaucht. Diese betrifft die Versionen 6 und 7 der Software aus dem Hause Microsoft.

Ein Exploit zur Ausnutzung der Lücke tauchte erstmals in der Nacht von Freitag auf Samstag auf, als in einer E-Mail der Sicherheits-Mailingliste Bugtraq ein einfacher HTML-Code-Schnipsel gefunden wurde, dessen Aufruf zum Absturz des Internet Explorers führt. Nicht ganz klar ist, wer sich hinter dem Absender securitylab.ir verbirgt, allerdings taucht dieses Pseudonym seit April dieses Jahres wohl häufiger in Verbindung mit Advisories und Exploits auf.

Technisch gesehen nutzt der Code einen Fehler in der JavaScript-Methode getElementsByTagName aus, die es einem Angreifer ermöglicht, Schadcode auf dem Rechner des Besuchers auszuführen. Bisher sei der Code zwar noch extrem unstabil, Experten rechnen allerdings damit, dass es nicht sehr lange dauern wird bis vollwertige und eine reale Gefahr darstellende Exploits auftauchen.

Die bisher einzige Möglichkeit sich vor der Lücke zu schützen besteht darin, Active Scripting für die Internet Zone zu verbieten, was allerdings den Funktionsumfang vieler Seiten erheblich einschränkt, oder ein Update auf die aktuellste 8er Version, die scheinbar nicht betroffen ist. Eine offizielle Stellungnahme von Microsoft liegt bisher nicht vor.