Microsoft schließt sechs weitere Sicherheitslücken in IE

Microsoft hat einen Patch veröffentlicht, der sechs Sicherheitslücken in seinem Internet Explorer - Browser beseitigt kritischer Fehler, der es einem Angreifer ermöglichen könnte, Code auf einem Clientcomputer auszuführen. Der Patch ist für Internet Explorer 5.01, Internet Explorer 5.5 und Internet Explorer 6.0 vorgesehen.

Zu ​​den vom Patch bereitgestellten Änderungen gehört ein Fix, der eine Sicherheitslücke in einer der lokalen HTML-Ressourcen (Hypertext Markup Language) von Internet Explorer schließt. Eine der HTML-Dateien, die mit Internet Explorer ausgeliefert werden, enthält eine siteübergreifende Skriptschwäche, die es einem Angreifer ermöglichen könnte, ein Skript auf dem Computer eines Benutzers auszuführen, teilte Microsoft am Mittwoch in einem Security Bulletin mit.

Der Patch behebt auch zwei Informationslücken Dadurch kann ein Angreifer Daten auf dem Computer eines Benutzers lesen, aber nicht hinzufügen, löschen oder ändern. Sowohl die Cross-Site-Scripting-Schwachstellen als auch die Sicherheitslücken wurden von Microsoft als kritisch eingestuft.

Der Patch behebt auch eine Zone-Spoofing-Schwachstelle, durch die eine Webseite in der Zone der vertrauenswürdigen Sites von Internet Explorer angezeigt werden kann Die letzten Sicherheitslücken, die der Patch behebt, sind zwei Sicherheitslücken in der Inhaltsdisposition, die es einem Angreifer ermöglichen könnten, Internet Explorer zu glauben, dass ein schädlicher Download sicher ist. Diese Schwachstellen wurden von Microsoft als niedrig bis mittel eingestuft.

Neben den sechs von Microsoft beschriebenen Schwachstellen deaktiviert der Patch auch Frames in der Zone "Eingeschränkte Sites" in Internet Explorer. Da Outlook Express 6.0, Outlook 98 und Outlook 2000 mit dem Outlook E-Mail-Sicherheitsupdate und Outlook 2002 standardmäßig E-Mails in der Zone Eingeschränkte Sites lesen, werden durch diese Änderung auch Frames in HTML-E-Mails deaktiviert, die mit einer dieser Anwendungen gelesen werden Diese Änderung wurde vorgenommen, um auszuschließen, dass eine HTML-E-Mail automatisch ein neues Fenster öffnen oder eine ausführbare Datei herunterladen könnte, so Microsoft.

Der Patch steht auf der Microsoft-Website zum Download bereit.