Neue Patches für den Internet Explorer
Insgesamt vier Sicherheits-Updates für Windows will Microsoft am Dienstag, dem 11. April, bereitstellen – plus eines für MS-Office. Insbesondere die gefährliche createTextRange-Lücke wird geschlossen.
Zum Patchday am 11. April wird es endlich das dringlich erwartete Update für Microsofts Webbrowser Internet Explorer geben, das die bereits aktiv ausgenutzte [ttcreateTextRange[/tt]-Lücke] schließt. Insgesamt vier Sicherheits-Updates für Windows will Microsoft am 11. April, bereitstellen – plus eines für MS-Office. Ob das vom Niederländer van der Stad gemeldete Problem, das Download und Ausführen von hta-Dateien ermöglichen soll, ebenfalls behoben wird, ist bislang nicht bekannt. Die Updates erfordern einen Neustart des Systems.
Das createTextRange-Problem ist dieses Jahr nach der WMF-Lücke schon der zweite Vorfall, bei dem bösartige Web-Seiten Sicherheitslöcher des Microsoft-Browsers ausnutzen, für die es keinen Fix des Herstellers gibt. Anders als bei den WMF-Problemen verspürte Microsoft diesmal jedoch offenbar keinen ausreichenden Druck, den Patch als Notfall-Update außer der Reihe bereitzustellen.
Auf den angekündigten Eoala-Patch, der die Aktivierung von ActiveX-Controls ändern soll, um Patentproblemen aus dem Weg zu gehen, gibt es in Microsofts offiziellen Vorabinformationen zum Patchday keinen Hinweis.
Sollte Microsoft tatsächlich die als Sicherheitsfunktion angepriesene automatische Update-Möglichkeit benutzen, um Patentstreitigkeiten auf dem Rücken der Anwender auszubügeln, spielen die Redmonder mit dem Feuer: Bereitet der automatisch installierte Patch Probleme, verspielen sie unter Umständen das in den letzten Jahren mühsam aufgebaute Vertrauen in die Ernsthaftigkeit der Sicherheitsbemühungen. Viele Anwender könnten dann überlegen, ob sie die automatische Update-Funktion nicht doch wieder abschalten. Immerhin machte Microsoft selbst einen Teilrückzieher und will es ermöglichen, die Umstellung des Internet Explorer wegen des Eolas-Patents auch bei eingeschaltetem Update vorübergehend zu deaktivieren – mit dem Juni-Update soll dann aber auch diese Verzögerung endgültig ausgeschaltet werden.
Siehe dazu auch: (ju)
- Security Bulletin Advance Notification von Microsoft
