Microsoft warnt in einem Security Advisory vor einer ernstzunehmenden Sicherheitslücke im MHTM-Handler (Mime HTML) von Windows. Der Bug ermöglicht es nach Angaben des Software-Herstellers Angreifern, über den Browser Internet Explorer eigene Scripts auszuführen und sich so Zugang zu sensitiven Daten zu verschaffen, die auf fremden Rechnern lagern. Das erfolgt - altbewährter Manier - dann, wenn das Opfer eine Web-Site besucht oder zu deren Besuch verleitet wird, auf welcher der Schadcode platziert ist.

Microsoft zufolge entspricht das Angriffsmuster dem von Cross-Site-Scripting-Attacken (XSS). Problematisch ist, dass es nicht nur ein Proof of Concept für die Attacken gibt, welche die Schwachstelle des MHTML-Handler ausnutzen, sondern dass die Informationen darüber bereits im Internet publiziert wurden. Damit ist es nur noch eine Frage der Zeit, bis entsprechende Angriffsversuche auf Windows-Rechner gestartet werden.

Account-Daten werden geklaut

Bei Erfolg eines Angriffs auf Windows-Systeme beziehungsweise den IE können Angreifer unter anderem die Account-Daten von E-Mail-Programmen "abgreifen", etwa von Web-gestützten Lösungen wie Google Mail. In diesem Fall ist es vorstellbar, dass ein Hacker im Namen des Opfers E-Mails verschickt, etwa Phishing-Mails an Personen, die im E-Mail-Adressbuch des Opfers aufgeführt sind.

Von der Lücke betroffen sind alle Windows-Versionen: die Client-Ausgaben von XP (Service-Pack 3), außerdem Vista und Windows 7 (32 und 64 Bit) sowie die Server-Versionen ab Windows Server 2003 bis hin zu Windows Server 2008 R2. Bei den Server-Varianten sind neben den Ausgaben für Intel-Prozessoren auch diejenigen für Maschinen mit Itanium-CPUs gefährdet.

Microsoft gibt im Security Advisor den Ratschlag, bis zum Erscheinen eines Patches den MHTML-Handler zu deaktivieren. Dazu ist es erforderlich, in der Registry der Systeme Änderungen vorzunehmen (Details auf dieser Web-Seite von Microsoft). Eine weitere Vorsichtsmaßnahme besteht, wie immer in vergleichbaren Fällen, darin, im Internet Explorer die Sicherheitseinstellungen zu verschärfen. Dazu im IE unter "Extras/Sicherheit" die Einstellungen für die Internet-Zone auf "Hoch" setzen. Ratschlag Nummer drei der Microsoft-Sicherheitsfachleute: Ebenfalls im IE unter "Extras/Sicherheit" für "Internet" auf "Stufe anpassen" klicken und Active Scripting entweder ganz deaktivieren oder als Default-Wert "Bestätigen" vorgeben.

Die genannten Einstellungen lassen sich mithilfe des Fix-it-Tools von Microsoft bewerkstelligen. Der "Fix-it" für die MHTML-Handler-Schwachstelle ist auf dieser Microsoft-Web-Seite zu finden. Es genügt, den Button anzuklicken. Anschließend führt das Tool die Änderungen in der Registry beziehungsweise den Einstellungen des Internet Explorer automatisch durch.

Einen weiteren Work-around verschweigt Microsoft aus nachvollziehbaren Gründen: statt des IE einfach andere Browser wie Firefox, Google Chrome oder Apple Safari einsetzen.