Neue Scripting-Lücke in Windows

Durch die manipulierten MHTML-Dateien können während einer Browsersitzung beliebige Skripte ausgeführt werden. Dadurch sind Angreifer in der Lage Nutzerinformationen wie E-Mails zu sammeln oder im Browser angezeigte Inhalte zu verändern, berichtet zdnet.de. Betroffen sind Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2.

Die Sicherheitslücke sei nach Unternehmensangaben bereits öffentlich bekannt. Und es werde an einem Patch für die Schwachstelle gearbeitet, der voraussichtlich zum nächsten regulären Patchday am 8. Februar veröffentlicht wird.

Die Lücke werde bisher aber noch nicht aktiv ausgenutzt. Microsoft stellte betroffenen Nutzern als Übergangslösung bis zur Veröffentlichung eines Patches ein Fix-it-Tool zur Verfügung. Es kann über den Knowledge-Base-Artikel 2501696 heruntergeladen werden und verhindert die Ausführung von Skripten in MHTML-Dateien. Das Tool hat keine Auswirkungen auf Skripte in HTML-Dateien.