Die Redmonder arbeiten bereits an einem Patch, der das Problem aus der Welt schaffen soll. Bisher machte man jedoch noch keine Angaben, wann das Update veröffentlicht werden soll. Ein Sicherheitsspezialist mit dem Pseudonym "Hackbunny" hat nun einen eigenen Patch veröffentlicht, der die URI-Lücke schließt. Er veröffentlichte einen nur wenige Kilobyte großen Download.
Der "ShellExecuteFiasco" genannte Patch soll die Ausführung speziell präparierter URLs verhindern und erzwingt zudem die Normalisierung gültiger URLs. URL-Normalisierung ist ein bei Suchmaschinen zur Verhinderung der doppelten Indexierung von Adressen genutzter Ansatz, bei dem Teile der URLs nach bestimmten Standards ausgeklammert werden.
Diese Aussage ist wohl mit Vorsicht zu nehmen :
Die URI-Lücke besteht nach bisherigen Erkenntnissen nur bei Systemen, auf denen Windows XP oder Windows Server 2003 in Kombination mit dem Internet Explorer 7 verwendet werden.
http://winfuture.de/news,35068.html
Inoffizieller Patch schließt URI-Lücke in Windows XP
Wichtiges Update dazu :
Heftiger Fehler im inoffiziellen URI-Patch
Der Autor des "nahezu ungetesteten", inoffiziellen Patches für das URI-Problem in Windows XP mit IE7 hat selbst einen gravierenden Fehler entdeckt. Es sei nach seinen eigenen Worten ein "grauenhaftes Speicherleck"; ein Fehler für den er sich eigentlich in die Ecke stellen müsste und schämen, meint KJK::Hyperion in seinem Beitrag auf einer Sicherheits-Mailingliste. Er stellt zwar auf seinen Seiten eine aktualiserte Fassung der Bibliothek bereit, aber auch deren Installation ist nicht zu empfehlen. Wann jedoch ein offizieller Patch von Microsoft erscheint, steht immer noch in den Sternen.
http://www.heise.de/newsticker/meldung/97611
Heftiger Fehler im inoffiziellen URI-Patch
Der Autor des "nahezu ungetesteten", inoffiziellen Patches für das URI-Problem in Windows XP mit IE7 hat selbst einen gravierenden Fehler entdeckt. Es sei nach seinen eigenen Worten ein "grauenhaftes Speicherleck"; ein Fehler für den er sich eigentlich in die Ecke stellen müsste und schämen, meint KJK::Hyperion in seinem Beitrag auf einer Sicherheits-Mailingliste. Er stellt zwar auf seinen Seiten eine aktualiserte Fassung der Bibliothek bereit, aber auch deren Installation ist nicht zu empfehlen. Wann jedoch ein offizieller Patch von Microsoft erscheint, steht immer noch in den Sternen.
http://www.heise.de/newsticker/meldung/97611