2 Lecks im Internet Explorer

Das erste Leck lauert in HTA-Anwendungen, die sich erneut dazu missbrauchen lassen, beliebigen Code auf das System zu schleusen und auszuführen. Voraussetzung dafür ist, dass die Datei über Netzwerkfreigaben via SMB oder WebDAV zugänglich ist und der Anwender sie mit einem Doppelklick startet. Die Sicherheitsexperten des Internet Storm Centers erwarten eine schnelle und kreative Ausnutzung des Lecks. Abhilfe schafft bislang lediglich das Deaktivieren von Active Scripting.

Leck Nummer Zwei ermöglicht Cross-Site-Scripting durch einen Fehler in der Eigenschaft object.documentElement.outerHTML, was ein Angreifer beispielsweise ausnutzen könnte, um Daten einer anderen Website, auf der der User Informationen eingegeben hat, auszulesen. Das Internet Storm Center gibt an, den Fehler auch in Firefox reproduzieren zu können. Die von Secunia veröffentlichte Demo des Lecks deckt das zwar nicht auf, der ursprünglich auf Full Disclosure veröffentlichte Proof-of-Concept soll sich jedoch auch auf den Open-Source-Browser anwenden lassen. (dd)