Angreifer können selbst dann Daten stehlen, wenn der Browser nicht genutzt wird - Microsoft will nicht patchen

Der Sicherheitsforscher John Page hat eine kritische Lücke im Internet Explorer öffentlich gemacht, über die Angreifer Daten stehlen könnten. Da es bisher kein passendes Update zur Fehlerbereinigung gibt, handelt es sich bei dem Ganzen um einen sogenannten "Zero Day". Doch noch schlimmer: Das Problem betrifft nicht bloß IE-Nutzer, generell sind alle gefährdet, die Windows verwenden.

Der Grund dafür: Der Fehler findet sich im Umgang mit XML-Objekten, womit er sich über das alte Archivierungsformat MHT (MIME HTML) triggern lässt. Dieses wird von modernen Browsern nicht mehr unterstützt, was einen interessanten Angriff möglich macht. Lässt sich eine Zielperson dazu bringen, auf eine MHT-Datei zu klicken, öffnet sich immer der Internet Explorer - egal welcher Browser sonst die Default-Wahl bildet. Infolge könnte ein Angreifer dann gezielt Dateien vom lokalen Dateisystem abgreifen und auf einen externen Server hochladen.