Via Internet Explorer von Windows ist es Angreifern möglich, sich Zugriff auf Windows-Daten zu verschaffen. Microsoft hat das Problem bestätigt, schiebt es jedoch auf die lange Bank.
Der Internet Explorer (IE) wird zwar kaum mehr als Browser genutzt und hat entsprechend nur noch einen Marktanteil von unter 10 Prozent. Er wird jedoch weiterhin ab Werk mit dem Windows-Betriebssystem mitgeliefert. Dies sorgt für ein Sicherheitsproblem: Über eine so genannte Zero Day-Lücke im IE können Angreifer nämlich Daten von PCs entwenden.
Entdeckt wurde die Lücke laut dem Online-Magazin heise.de von Sicherheitsforscher John Page, der sie ausführlich beschrieben hat. Obschon er Microsoft über seine Entdeckung informierte, hat das Unternehmen bisher keinen Patch zur Behebung des Problems ausgeliefert.
MHT-Dateien als Schwachstelle
Ursache für die Lücke ist die Tatsache, dass der Internet Explorer im Windows-System standardmässig mit Dateien mit der Endung .mht verknüpft ist. Klickt ein potenzielles Opfer auf eine von den Angreifern per E-Mail oder Chat verschickte, bösartige MHT-Datei, öffnet sich der Internet Explorer. Eine auf diese Weise empfangene und geöffnete MHT-Datei kann gemäss Page wegen eines Fehlers bei der Behandlung von XML-Objekten eine beliebige Datei des Windows-Systems stehlen und auf einen externen Server hochladen.
MHT steht für MHTML, ein Archivformat in dem im Internet Explorer Webseiten gespeichert werden, das heute jedoch kaum noch zum Einsatz kommt. In modernen Browsern werden Webseiten nämlich nicht mehr im MHT-Format gespeichert, sondern in HTML. Allerdings unterstütze auch aktuelle Browser das Format und öffnen die entsprechenden Dateien.
Laut Sicherheitsforscher Page betrifft das aktuelle Sicherheitsproblem die Betriebssysteme Windows 7, Windows 10 und Windows Server 2012 R2.
Patch von Microsoft bleibt aus
Microsoft wurde von Page bereits Ende März auf das Problem aufmerksam gemacht. Der Konzern erachtet ein Sicherheitsupdate derzeit jedoch nicht für notwendig. In ihrer Antwort an Page schreiben die Redmonder, eine Behebung des Problems werde für einen späteren Zeitpunkt in Erwägung gezogen und der Fall für den Moment geschlossen.
Windows-Nutzer, die auf Nummer sicher gehen wollen, sind deshalb gut beraten, den Internet Explorer zu deinstallieren.
