MHTML Script Injection vulnerability in IE (2501696)

Alle Sicherheitsexperten aufgepasst: In Microsoft Security Advisory (2501696) vom 28. Jänner wird auf eine neu entdeckte Sicherheitslücke in Internet Explorer aufmerksam gemacht: “Vulnerability in MHTML Could Allow Information Disclosure”.

Diese Schwachstelle betrifft nur Internet Explorer im Zusammenhang mit MHTML und speziell präparierten Webseiten. “Internet Explorer is an attack vector, but because this is a Windows vulnerability, the version of IE is not relevant.”

Über das Tool in Microsoft Security Advisory: Vulnerability in MHTML could allow information disclosure können eigene Windows Systeme geprüft und geschützt werden:

Der Schutz aktiviert einen “Network Protocol Lockdown for mhtml for all security zones” – Scripting und ActiveX in MHTML wird deaktiviert. Diese Einschränkung hat allerdings keine oder kaum Einschränkungen (“We expect that in most environments this will have limited impact…”), da MHTML Scripting im Web kaum verwendet wird. Derzeit ist auch nicht bekannt, dass diese Schwachstelle aktiv ausgenutzt wird.

Im TechNet Blog Security Research & Defense Blog informiert das Security Team von Microsoft ausführlich über die Sicherheitslücke More information about the MHTML Script Injection vulnerability. Ansehen!