Hacker klauen Daten per Internet Explorer, auch wenn man diesen nicht nutzt
Eine Sicherheitslücke in einem Programm setzt meistens voraus, dass man dieses auch nutzt. Im aktuellen Fall des Internet Explorers ist das aber nicht der Fall. Jeder User, der den Microsoft Browser installiert hat, ist potenziell gefährdet – selbst, wenn man den Internet Explorer noch nie verwendet hat.
Aufgedeckt wurde das aktuelle Problem von John Page. Die Sicherheitslücke liegt im Format MHT. Dieses ist das Standardformat, in dem der Internet Explorer Websites abspeichert, wenn der User die entsprechende Funktion nutzt. Moderne Browser nutzen das normale HTML-Format dafür.
In Windows 10 ist der Internet Explorer das Standard-Programm, mit dem MHT-Dateien geöffnet werden. Wird eine manipulierte MHT-Datei vom User angeklickt, kann der Angreifer so Schadcode einschleusen. Laut Page kann mit den manipulierten Dateien eine Kette von Aktionen im Internet Explorer ausgeführt werden, ohne dass weitere Eingaben vom User nötig sind. So sei es Angreifern möglich, lokale Dateien abzugreifen.
Kein Patch in Aussicht
Page sagte gegenüber ZDnet, dass er Microsoft am 27. März über die Lücke informiert hatte. Die Antwort kam fast zwei Wochen später: Man werde darüber nachdenken, in Zukunft einen Patch zu veröffentlichen. Zum derzeitigen Zeitpunkt werde man aber das Problem nicht beheben. Page hat deshalb die Sicherheitslücke öffentlich gemacht, um Microsoft dazu zu bewegen, die Lücke doch zu schließen. Page hat die Lücke mit der aktuellen Version des Internet Explorer 11 und den aktuellen Versionen von Windows 7 und Windows 10 erfolgreich nutzen können.
Angreifer werden versuchen die Lücke auszunutzen, indem sie MHT-Dateien mit Schadcode per Mail verschicken oder in Downloads von Filesharing-Diensten verpacken. Wie immer sollte man also sehr vorsichtig sein, wenn es um Mails mit Anhängen geht und Mails die auffordern Links anzuklicken. Außerdem wäre das ein guter Moment, um sich vom Internet Explorer zu verabschieden. Auf der Microsoft-Support-Website gibt es eine Anleitung, wie der Browser deaktiviert wird.