Im Rahmen seines regulären Patch-Days wird Microsoft am 14. Juli die als äußerst kritisch eingestufte Sicherheitslücke in der Video-ActiveX-Routine schließen. Auch ein Loch in der DirectShow-Software soll bei dieser Gelegenheit beseitigt werden.

Wie berichtet, weisen sowohl ActiveX als auch DirectShow von Microsoft jeweils einen höchst gefährlichen Bug auf. Der Hersteller bezeichnet die Schwachstelle in der Video-Komponente als »Browse-and-get-owned«-Lücke: Nutzer des Internet-Explorers, die auf eine von Hackern präparierte Web-Seite gehen, laufen Gefahr, dass ihr Rechner von den Angreifern »übernommen« wird.

Experten der IT-Sicherheitsfirmen Trend Micro und Websense haben speziell in China mehrere Tausend Web-Seiten ausgemacht, die für solche Zwecke modifiziert oder neu aufgesetzt wurden. Laut Scansafe seien sogar mehrere Millionen infizierter Sites aufgetaucht.

Auch über den Internet-Auftritt der russischen Botschaft in Washington seien solche Angriffe gestartet worden, so die Fachleute. Vermutlich haben Cyberkriminelle ohne Wissen der Mitarbeiter der Botschaft die Web-Seite infiltriert und mit Schadcode hinterlegt.

Schwachstelle war bereits seit längerem bekannt

Laut einem Bericht des IT-Nachrichtenportals Techworld war Microsoft der Bug im Internet-Explorer bereits seit mehr als einem Jahr bekannt. Mike Reavey, Leiter von Microsofts Security Response Center (MSRC), räumte ein, dass das Unternehmen schon im Frühjahr 2008 von der Schwachstelle in ActiveX erfuhr.

Warum es so lange dauerte, die Lücke zu schließen, ließ Microsoft offen. Ryan Smith, ein Fachmann der Security-Firma Verisign, vermutet, der Bug sei derart einzigartig, dass selbst ein Unternehmen wie Microsoft länger benötigt habe, um eine Lösung zu finden.

Bei dem Patch, der am Dienstag veröffentlicht wird, handelt es sich demzufolge nur um eine Interimslösung. Mithilfe von Kill-Bits wird die betreffende ActiveX-Routine in der Windows-Registry deaktiviert.

Wann ein »richtiger« Patch herauskommt, der die Schwachstellen eliminiert, teilte Reavey nicht mit. Neben dem Internet Explorer 6 weist auch Version 7 des Browsers die Lücke auf. Die aktuelle Version IE 8 ist nicht betroffen.

Ebenfalls sicher sind die Betriebssysteme Windows Vista und Windows Server 2008. Gefährdet sind dagegen sind Rechner, auf denen Windows XP oder eine ältere Windows-Version läuft.