Ungepatchte Microsoft-Fehler verlässt IE6 bei Risiko

Eine Sicherheitsanfälligkeit in noch nicht gepatderter Microsoft-Software stellt eine größere Gefahr für Internet Explorer 6-Benutzer dar als für die nächste Version des Browsers, warnte der Sicherheitsanbieter Symantec.

Der Fehler in der Access-Datenbanksoftware von Microsoft trat auf Genau wie Microsoft seine Patches für den Monat am 8. Juli veröffentlicht hat. Das Problem liegt im Snapshot Viewer ActiveX-Steuerelement, mit dem jemand einen Access-Bericht anzeigen kann, ohne die Software zu starten.

Angreifer nutzen die Sicherheitsanfälligkeit aktiv aus, indem sie Webseiten erstellen oder das Hacken vorhandener Webseiten, um den Angriff zu hosten. Die Hacker locken Leute durch Spam oder eine Sofortnachricht zu den Seiten.

Internet Explorer 7 wird Benutzer vor dem ersten Herunterladen eines bestimmten ActiveX-Steuerelements auffordern. Aber Internet Explorer 6 wird das Steuerelement automatisch herunterladen, da es von Microsoft digital signiert wurde, sagte Symantec in seinem Advisory.

Sobald das ActiveX-Steuerelement heruntergeladen wurde, kann der Fehler dem Angreifer ermöglichen, einen PC zu übernehmen.

Symantec rät Administratoren können drei "Kill Bits" für das ActiveX-Steuerelement festlegen, eine Microsoft-Problemumgehung, die verhindert, dass ein ActiveX-Steuerelement in Internet Explorer ausgeführt wird.

Microsoft hat bisher nicht gesagt, wann ein Fix veröffentlicht werden soll. Die nächste Patching-Runde des Unternehmens ist für den 12. August geplant.

Symantec sagte letzten Monat, dass Crimeware-Autoren einen Exploit für die Snapshot-Viewer-Schwachstelle in Neosploit eingebaut haben. Ein Toolkit, mit dem Hacker eine Handvoll Exploits auf einem PC ausführen können Es hat eine nicht gepatchte Schwachstelle.

Jedoch letzte Woche schien es, dass die Cyberkriminellen, die Neosploit erstellt hatten, den Verkauf eingestellt hatten, vielleicht weil der Preis - bis zu 3.000 US-Dollar - zu hoch war und die Nachfrage zurückging.