Microsoft warnt vor MHTML Sicherheitslücke

Das Sicherheitsloch hängt mit dem Umgang von Windows mit MHTML-Dateien zusammen. Über einen entsprechend gestalteten Link kann ein Angreifer ein Script einschleusen und im Sicherheitsmodus des Browsers ausführen. Dadurch kann die aufgerufene Webseite quasi alle Aktionen durchführen, zu welcher der Benutzer auch in der Lage wäre.

Einen Patch, der diese Sicherheitslücke schließt, gibt es noch nicht. Microsoft empfiehlt entweder die Darstellung von MHTML-Dateien zu deaktivieren oder die Sicherheitszone des Internet Explorer auf "hoch" zu setzen. Damit wären sowohl Active Scripting und ActiveX.

Microsoft zufolge gibt es bereits ein Proof-of-Concept, aktuell soll die Sicherheitslücke aber nicht aktiv ausgenutzt werden. Ob Microsoft noch vor dem Patch-Day im Februar einen Patch ausgeben wird, ist nicht bekannt.