Hotfixes von Microsoft und Adobe
Hotfixes und Sicherheitsempfehlungen sollen kritische Lücken im Internet Explorer 8 und im ColdFusion-Webserver von Adobe schließen.
- Thomas Kaltschmidt
Microsoft hat ein Hotfix für den Internet Explorer 8 veröffentlicht. Eine kritische Lücke hat es Angreifern ermöglicht, Code einzuschleusen und auf dem kompromitierten Rechner auszuführen. Die Versionen 6, 7, 9 und 10 sind von dem Problem nicht betroffen. Der Fix ist nicht Teil eines automatischen Sicherheitsupdates, der Anwender muss ihn manuell installieren.
Die Support-Seite stellt zwei Installationsdateien bereit. Durch Ausführen von MicrosoftFixIt50992.msi wird der Hotfix aktiviert, durch MicrosoftFixIt50991.msi kann man ihn wieder deaktivieren. Im Microsoft Security Advisory finden sich weitere Hintergründe zu der Schwachstelle. Die Lücke wurde vor knapp einer Woche bekannt, wurde bereits aktiv für gezielte Angriffe genutzt und seit zwei Tagen ist ein öffentlicher Exploit verfügbar. Somit ist sehr bald damit zu rechnen, dass die Lücke in großem Stil ausgenutzt wird; wer noch IE8 einsetzt, sollte den Hotfix schlenigst einspielen.
Adobe beschreibt ein kritisches Leck in ColdFusion in einem Security Bulletin (CVE-2013-3336). Durch dieses können unautorisierte Anwender Zugriff auf den Webserver erlangen und Dateien von diesem herunterladen. Betroffen sind ColdFusion 9 und 10 unter Windows, Mac OS und Linux. Einen Fix für diese kritische Lücke stellt Adobe für den 14. Mai in Aussicht; durch Zugriffsbeschränkungen auf die Ordner CFIDE/administrator, CFIDE/adminapi und CFIDE/gettingstarted kann man sich aber sofort behelfen. Das Security Bulletin erklärt die Vorgehensweise.
Adobe spricht lediglich vage von Berichten über einen öffentlich verfügbaren Exploit zu dieser Lücke. Gemeint ist wohl der von der Hackergruppe "Hack The Planet" kürzlich veröffentlichte Zero-Day. Mit dessen Hilfe hatte diese unter anderem eine ganze Reihe von prominenten Web-Sites und auch den Registrar der kompletten .edu-Domain gekapert. Bereits vor einigen Wochen hatte Adobe einen Hotfix für ColdFusion veröffentlicht, der aber offenbar andere Schwachstellen adressiert (CVE-2013-1387, CVE-2013-1388).
Update 9.5. 14:00: Diverse zusätzliche Referenzen eingebaut. (thk)
