Die in der Vorwoche bekannt gewordene kritische Lucke im Internet Explorer fordert nun erstmals Opfer. Wie das Security-Unternehmen Websense mitteilt, sollen bereits uber 200 Webadressen und einige Server das Sicherheitsloch aktiv ausnutzen. Betroffen ist die Java-Script-Funktion "createTextRange()", uber die schadhafte Codes ausgefuhrt werden konnen. Ein Microsoft-Patch, der die Schwachstelle kitten soll, ist noch nicht verfugbar.

"Eine Sicherheitslucke, uber die das Betriebssystem angegriffen werden kann, ist immer als kritische Bedrohung einzustufen", erklart Dan Hubbard, Senior Director Security Research von Websense. Bis zum Patch, den Hubbard "nicht vor Dienstag nachster Woche oder noch spater" erwartet, sollten Anwender beim Anklicken von Attachments, Links, aber auch Werbebannern besonders vorsichtig sein. Wer ganz sicher gehen mochte, muss Hubbard zufolge die Funktion "Active Scripting" im IE-Browser deaktivieren oder gleich ganz auf einen anderen Browser umsteigen.

Eine aktuelle Firewall sowie Antiviren-Software bieten im vorliegenden Fall nur bedingten Schutz, da durch minimale Veranderungen im HTML-Code Schaden angerichtet werden kann, der durch aktuelle Signaturen nicht abwendbar ist. Unterdessen hat Microsoft bekannt gegeben, dass die aktuelle Beta-Version des neuen Internet Explorer 7 von dem Sicherheitsproblem nicht betroffen sei. "Was dieses Problem betrifft, ist der Internet Explorer 7 sicher", bestatigte Hubbard.

Hubbard glaubt, dass der neue Internet Explorer sowie Windows Vista entscheidende sicherheitstechnische Verbesserung mit sich bringen. Unter Vista soll der Internet Explorer standardma?ig in einer Umgebung mit eingeschrankten Rechten laufen, was die Auswirkungen von Angriffen abmildern soll. "Eine Wunderwaffe ist das naturlich auch nicht. Es ist in jedem Fall aber ein Schritt in die richtige Richtung", so Hubbard.

Active Scripting wird unter Extras, Internetoptionen, Sicherheit, Stufe anpassen deaktiviert. (Bild: ZDNet)