Zero-Day-Lücke in Internet Explorer: Microsoft patcht außerplanmäßig - auch Windows XP
Eine schwere Lücke in Microsofts Webbrowser Internet Explorer von Version 6 bis 11 wird aktiv ausgenutzt: Microsoft sieht sich zu einen Patch außer der Reihe veranlasst. Auch das eigentlich nicht mehr unterstützte Windows XP wird berücksichtigt.
- Jürgen Kuri
Offene Sicherheitslücken in aktuellen Webbrowser-Versionen sind kein Spaß – schon gar nicht, wenn Zero-Day-Exploits kursieren und die Lücke aktiv ausgenutzt wird. So warnte denn auch das BSI angesichts eines akuten Lecks im Internet Exlorer seit Version 6 vor der Nutzung von Microsofts Webbrowser, ebenso wie das US-CERT. Microsoft sieht sich angesichts dieser Situation veranlasst, einen schnellen Patch außer der normalen Update-Reihe herauszubringen, um das Leck zu schließen. Und das gilt ausnahmsweise auch für den Internet Explorer in Windows XP, obwohl der offizielle Support für das Betriebssystem seit einigen Tagen ausgelaufen ist und Sicherheitslücken bei XP damit normalerweise nicht mehr geschlossen werden.
Das von Microsoft selbst als "kritisch" eingestufte Patch (Security Bulletin MS14-021) wird seit dem Donnerstagabend über die Update-Funktion von Windows verteilt. Das Update steht aber auch für die einzelnen System- und Explorer-Versionen über das Security Bulletin bereit.
Adrienne Hall, Chefin von Microsofts Abteilung für Trustworthy Computing, meinte zu dem Vorgehen des Konzerns, als man erste Berichte über das Leck gesehen habe, sei die Devise gewesen: "fix it, fix it fast, and fix it for all our customers." Man habe sich dazu entschlossen, auch Windows XP zu berücksichtigen, da diese schwerwiegende Lücke erst kurz nach dem Termin für das XP-Supportende bekannt geworden sei. Insgesamt habe es nur sehr wenige Angriffe gegeben, die die Lücke ausgenutzt hätten; die Befürchtungen wegen des Lecks seien größtenteils übertrieben gewesen, meint Hall.
Das mögen Sicherheitsexperten anders sehen. Über die Schwachstelle kann Code ausgeführt werden ("Remote Code Execution"), wenn der Browser versucht, auf ein Objekt im Speicher zuzugreifen, das da gar nicht liege. Angreifer hatten das über präparierte Webseiten auslösen können, wie das Sicherheitsunternehmen FireEye berichtet hatte. Allerdings ist es dazu nötig, dass Adobes Flash Player auf dem Rechner des Opfers installiert ist. (jk)