Das Security Advisory 2501696 warnt vor einer Sicherheitslücke in Windows, durch die man schädliche Scripte in vertrauenswürdige Seiten einbinden kann. Der Fehler liegt im MHTML-Handler aller aktuellen Windows-Versionen, von XP bis 7.
MHTML (MIME Encapsulation of Aggregate HTML) legt fest, wie man HTML-Code MIME-konform verpackt. Startet ein Angreifer über diese Lücke ein Script, wird der Sicherheitskontext von einer vom Angreifer vorgegebenen Seite bestimmt.
Mitarbeiter des Microsoft Security Teams zeigen in einem Blog-Artikel Möglichkeiten zum Testen der Verwundbarkeit Ihres Systems und Möglichkeiten der Abhilfe. Dazu gehörtein “Fix It”, das Scripting und ActiveX in MHTML deaktiviert.