Microsoft warnt vor URI-Sicherheitslücke

Microsoft hat ein Security Advisory veröffentlicht, in dem Berichte über eine URI-Schwachstelle (Uniform Resource Identifier) in Windows bestätigt werden. Die Schwachstelle betreffe Windows XP und Windows Server 2007 mit installiertem Internet Explorer 7. Windows Vista und Windows-Ausgaben, bei denen der Internet Explorer 7 nicht installiert ist, seien nicht betroffen. Microsoft hat die Veröffentlichung eines Sicherheits-Patches für die Schwachstelle angekündigt.

Wie der Hersteller in seinem Security Advisory erläutert, entsteht die Bedrohung durch einen vom IE 7 vorgenommenen Update einer Windows-Komponente, die die Interaktion zwischen dem Internet Explorer und der Windows Shell modifiziert. Hierbei entstehe eine Schwachstelle, die über manipulierte URIs und URLs ausgenutzt werden kann und Angreifern die Ausführung von beliebigem Code erlaubt. Gegenwärtig seien noch keine Angriffe über diese Schwachstelle bekannt, Microsoft warnt jedoch, nicht auf Links in nicht vertrauenswürdigen Mails zu klicken und keine zweifelhaften Webseiten anzusurfen.

In einem detaillierten MSRC-Blogeintrag versucht Microsoft, die Verwirrung, die in der Mediendiskussion der Schwachstelle und ähnlicher bereits im Juni und Juli diskutierter Protocol-Handling-Lücken entstanden war, aufzuklären. Microsoft gesteht dabei ein, selbst zu der Verwirrung beigetragen zu haben, indem nicht korrekte Diskussionspunkte an die Medien weitergegeben wurden.