Mausklick-Workarounds für IE-Sicherheitslücke

Microsoft hat zwei Fix-it-Tools für die kritische Sicherheitslücke im Internet Explorer veröffentlicht. Mit wenigen Mausklicks können Anwender nun dafür sorgen, dass der derzeit im Netz zirkulierende Exploit auf ihrem System nicht mehr funktioniert und so die Zeit bis zum Erscheinen eines Patches überbrücken.

Mit dem ersten Fix-it für IE6 und IE7 unter Windows XP und Server 2003 lässt sich die Peer-Klasse in der betroffenen Bibliothek iepeers.dll deaktivieren. Damit ist die Lücke zwar endgültig dicht, doch das Vorgehen kann unerwünschte Nebenwirkungen im Windows-Netzwerk haben. Unter Vista und Server 2008 ist das Fix-it-Tool wirkungslos; wer den Workaround dennoch aktivieren möchte, muss gemäß der Anleitung im Microsoft-Advisory vorgehen.

Das zweite Fix-it-Tool aktiviert die Datenausführungsverhinderung DEP für IE6 und IE7 auf Systemen, die dies unterstützen. Das ist seit Windows XP SP2 und Windows Server 2003 SP1 der Fall. Voraussetzung ist aber auch, dass die CPU das Feature unterstützt. Bei AMD nennt es sich NX (No Execute) und Intel nennt es XD (Execute Disable). In den 64-Bit-Versionen von Vista und Windows 7 ist DEP ohnehin global aktiviert; IE8 aktiviert DEP automatisch auf allen Systemen, die es unterstützen.

DEP ist grundsätzlich empfehlenswert, da es vielen gängigen Exploit-Techniken einen Strich durch die Rechnung macht und lediglich in wenigen Fällen Probleme mit Add-ons verursacht. Allerdings bietet DEP keinen kompletten Schutz. Dass es sich umgehen lässt, haben Sicherheitsexperten bereits bei älteren IE-Exploits gezeigt. Es ist daher wahrscheinlich, dass bald auch ein für DEP angepasster Exploit die Runde machen wird.

Sollte ein Fix-it-Tool Probleme verursachen, lässt es sich per Mausklick auch wieder deaktivieren.

Siehe dazu auch:

• Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution, Fix-Its von Microsoft

(cr)