Eine neue Sicherheitslücke ist im Internet Explorer entdeckt worden. Informationen darüber veröffentlichte das Sicherheitsportal FRSIRT zusammen mit einem Demo-Exploit. Microsoft sieht sich dadurch genötigt, eine Sicherheitsempfehlung zu veröffentlichen. FRSIRT hat inzwischen die Angaben zu betroffenen Software-Versionen konkretisiert.
Nach Angaben von FRSIRT ist zumindest die Version 7.0.9064.9112 der Datei "msdds.dll" verwundbar. Diese Datei gehört allem Anschein nach zum Entwicklungspaket Microsoft Visual Studio NET 2002 und wird auch mit MS Office 2002 installiert. Diese DLL ist eigentlich nicht dafür vorgehen als ActiveX-Steuerelement über den Internet Explorer angesprochen zu werden.
Das ist auch eine der wenigen konkreten Aussagen in der Sicherheitsempfehlung 906267 von Microsoft. Darin heißt es ferner, diese DLL sei nicht als "Safe for Scripting" ausgewiesen. Weiterhin listet Microsoft eine Reihe von Versionen des Internet Explorers (IE) jeweils in Verbindung mit einer konkreten Windows-Version auf, die verwundbar sein können, falls die Datei msdds.dll auf dem PC installiert ist. Diese Liste reicht vom IE 5.01 unter Windows 2000 über IE 5.5 unter Windows ME bis zum IE 6 unter Windows XP mit Service Pack 1 und Windows Server 2003.
Das Internet Storm Center des SANS-Instituts beschreibt einen Weg die potenzielle Bedrohung auszuschalten. Nach Angabe des ISC sind Versionen der msdds.dll ab 7.10.x nicht verwundbar. Um ein Laden der DLL über ActiveX zu unterbinden, schlägt das ISC den Weg vor, den Microsoft auch bei der Anfang Juni entdeckten Sicherheitslücke in der "javaprxy.dll" beschritten hat.
Man kann das so genannte "Kill-Bit" für diese DLL setzen, so dass ein Aufruf auf dem Internet Explorer nicht mehr möglich ist. Im Rahmen seiner monatlichen Sicherheits-Updates hat Microsoft dieses Kill-Bit für mehrere Dutzend Dateien gesetzt, die nicht zur Ausführung im IE vorgesehen sind. Die msdds.dll hat man wohl übersehen. Das ISC stellt ein kleines Programm bereit, das das Kill-Bit für diese Datei setzt. Eine solche Lösung hätte man eigentlich von Microsoft erwartet - dort ist man jedoch offenbar vorsichtiger und will erstmal die Ergebnisse weiterer Tests abwarten.
Bislang sind noch keine Web-Seiten bekannt, die versuchen diese Schwachstelle auszunutzen. Wer die betroffene Version der msdds.dll auf seinem Rechner hat und keine Möglichkeit, eine neuere Version zu installieren, kann sich durch Setzen des Kill-Bits vor Angriffen auf diese Schwachstelle schützen. Alternativen dazu sind restriktive Sicherheitseinstellungen im Internet Explorer (ActiveX deaktivieren) oder die Nutzung eines anderen Browsers, etwa Firefox oder Opera.