Microsoft hat eine weitere Sicherheitslücke im Internet Explorer bestätigt, über die sich ein Angreifer volle Kontrolle über das System verschaffen kann. Im Netz kursierender Code zeigt, dass die Lücke von Hackern bereits zur Attacke genutzt wird.

Die Sicherheitsexperten von Secunia und dem Antivirensoftware-Anbieter McAfee stufen das Risiko der Lücke als hoch ein. Microsoft dagegen hält das Sicherheitsleck für wenig risikoreich.

Das Leck findet sich in der Datei vgx.dll des Internet Explorer, mit der VML-Inhalte (Vector Markup Language) im Browser oder als html-Mail in Outlook dargestellt werden. Bringt ein Angreifer die Nutzer dazu, präparierte Websites oder Mails mit speziellem VML-Code zu öffnen, kann er die Systemkontrolle übernehmen.

Diese Lücke läßt sich laut McAfee bereits jetzt mit einem Hacker-Toolkit nutzen, das im Untergrund weit verbreitet ist. Microsoft dagegen will einen Patch erst zum regulären Patchday im Oktober veröffentlichen. Abhilfe läßt sic derzeit nur schaffen, wenn über die Browser-Einstellungen die VML-Darstellung abgeschaltet wird.