Internet-Explorer-Leck für E-Mail-Angriffe anfällig

Die am Mittwoch gemeldete Sicherheitslücke in der Vektorgrafik-Komponente (VML) des Internet Explorer lässt sich auch per E-Mail-Angriff ausnutzen, warnen Sicherheitsexperten. Die Schwachstelle, die von mehreren Sicherheitsunternehmen als extrem kritisch eingestuft wurde, wurde bisher nur beim Besuch von präparierten Webseiten ausgenutzt. Das Sicherheitsunternehmen iDefense hat nun einen ersten Exploit für E-Mail-Angriffe aufgespürt.

Der Exploit sei zwar noch nicht ausgereift gewesen und habe das E-Mail-Programm Outlook nur zum Absturz gebracht, mit einer kleinen Änderung durch die Sicherheitsexperten konnte der Exploit jedoch zur Ausführung von beliebigem Code gebraucht werden. Betroffen seien alle E-Mail-Clients, die die Rendering Engine des Internet Explorers zum Betrachten von HTML-Mails nutzen. Eine erfolgreiche Ausnutzung der Schwachstelle per E-Mail mache großflächige E-Mail-Angriffe wahrscheinlich, befürchtet iDefense. Microsoft arbeitet bereits an einem Sicherheits-Patch.

Powerpoint-Leck: Symantec muss zurückrudern

Bei der ebenfalls am Mittwoch von Symantec gemeldeten Schwachstelle in Powerpoint musste das Sicherheitsunternehmen nun zurückrudern. Es handelt sich bei der Sicherheitslücke um eine bereits bekannte und schon im März gepatchte Schwachstelle. Bereits im August hatte Trend Micro mit einer - voreiligen - Meldung einer neuen Powerpoint-Lücke für Aufregung gesorgt, musste die Warnung aber zurücknehmen, da die Lücke bereits bekannt und gepatcht war - übrigens die selbe alte Schwachstelle, die auch Symantec als neu gemeldet hatte.

Für den fehlerhaften Kernel-Patch, der auf Windows 2000-Systemen bei komprimierten Ordnern zum Datenverlust führen konnte, hat Microsoft nun seinen Hotfix auch zum allgemeinen Download [Link entfernt] bereitgestellt. Microsoft hatte diesen zunächst nur auf Support-Anfragen hin herausgegeben, da er zum Zeitpunkt der ersten Bereitstellung noch nicht abschließend getestet worden war.