Achtung vor der F1-Taste

Angreifer könnten die IE-Sicherheitslücke ausnutzen, um auf dem Rechner des Opfers beliebige Malware zu installieren. Damit die Web-basierte Attacke erfolgreich ist, müssen User eine manipulierte Webseite öffnen und die F1-Taste drücken, um die Windows-Hilfe aufzurufen. «Unsere Analysen zeigen, dass solange Anwender nicht die F1-Taste auf ihrer Tastatur drücken, die Sicherheitslücke nicht zuschlagen kann», erklärt Microsoft. Die Sicherheitslücke entsteht durch die Art und Weise, wie Microsofts VBScript mit Windows Hilfe-Dateien (Windows Help Files) im Internet Explorer umgeht.

Die Schwachstelle betrifft die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003. Den Redmondern zufolge kann die Lücke dagegen unter Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008 nicht ausgenutzt werden. Die Schwachstelle wurde vom Security-Experten Maurycy Prodeus entdeckt, der die ersten Details darüber bereits am vergangenen Freitag veröffentlicht hat. Microsoft kritisiert den Entdecker der Sicherheitslücke, weil dieser die Details zur Lücke publik gemacht habe und somit die Sicherheit der Computer-Nutzer riskiere. Der Software-Gigant will noch alle Untersuchungen über die Lücke abschliessen und dann entscheiden, welche Massnahmen dagegen getroffen werden sollten. Bis zum nächsten Patch-Day am 9. März dürfte ein möglicher Patch aber vermutlich nicht vorliegen.