Microsofts jüngste Version des Internet Explorers ist noch keinen Monat erhältlich, schon tauchen die ersten zwei Sicherheitslücken auf. In Kombination erlauben die Schwachstellen Angreifern, Code auf Systeme einzuschleusen und diesen auszuführen. Gemäss den Spezialisten des französischen Sicherheitsspezialisten Vupen sind die Lücken in allen Internet-Explorer-Version von 6 bis 9 vorhanden.

Wie Vupen-Chef Chaoukri Bekra gegenüber der niederländischen Newsseite 'webwerald' sagte, lässt sich mit dem Exploit für die eine Schwachstelle Code in der sogenannten Sandbox des Internet Explorers ausführen. Unter Ausnutzung der zweiten Lücke kann zudem aus der Sandbox ausgebrochen und (Schad-)Code auf dem System ausgeführt werden. Dies sei auch auf Systemen mit Windows 7 und installiertem Service Pack 1 und weiteren Updates möglich, so Bekra. Auch die in Windows eingebauten Sicherheitsmechanismen Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) können den Angriff offenbar nicht verhindern.

Wie genau sich die Lücken ausnutzen lassen, gab Vupen nicht bekannt. Es soll sich aber um einen Fehler in der Programmbibliothek mshtml.dll handeln, der sich durch eine Kombination von HTML- und Javascript-Code auf einer Webseite ausnutzen lässt. (bt)