Microsoft warnt vor neuem Windows-Leck

BetriebssystemBrowserSicherheitSicherheitsmanagementSoftwareWorkspace

In einem Security Advisory warnt Microsoft vor einem Leck, das in allen Windows-Versionen zu finden ist und dazu taugt, die Inhalte von Webseiten zu manipulieren oder Daten auszuspionieren.

Das Problem ist der Umgang von Windows mit MHTML-Dateien, in denen HTML-Code und Grafiken wie in einer Mail MIME-konform verpackt sind. Sie werden standardmäßig mit dem Internet Explorer geöffnet, doch auch andere Browser kommen mit dem Format – Dateiendung MHT – zurecht, etwa Opera. Firefox dagegen kann MHTML-Dokumente nur mithilfe eines Addons darstellen.

Über das Leck ist es einem Angreifer möglich, Skripte einzuschleusen, etwa um die Inhalte von Webseiten zu verändern oder Daten abzugreifen. Microsoft zufolge existiert bereits ein Proof-of-Concept, man hat allerdings noch keine Versuche entdeckt, das Leck aktiv auszunutzen.

Noch gibt es kein Update, um das Leck abzudichten. Microsoft empfiehlt einstweilen, die Darstellung von MHTML-Dateien zu deaktivieren oder die Sicherheitszone im Internet Explorer auf hoch zu setzen, damit Active Scripting und ActiveX geblockt werden.