Web-Seiten attackieren Internet-Explorer-Nutzer

Nutzer des Internet Explorer, die den letzten IE-Patch von Microsoft nicht eingespielt haben, surfen gefährlich. Mittlerweile tauchen immer mehr Web-Seiten auf, die den Fehler in Microsofts Java-Implementierung ausnutzen, um Spyware oder Trojaner zu installieren. Dazu modifizieren die Kriminellen den öffentlich verfügbaren Exploit, indem sie eigenen Shell-Code einbauen, der beispielsweise ein Programm aus dem Netz nachlädt und ausführt. Einige Virenscanner erkennen manche Exploits bereits -- aber längst nicht alle. "Insgesamt ist die Erkennungsrate noch recht dürftig.", warnt Andreas Marx von AV-Test gegenüber heise Security.

Die Infektion des Rechners erfolgt ohne Zutun des Anwenders. Dieser muss dazu lediglich eine Web-Seite öffnen, die den Schadcode enthält. Aufpassen beim Surfen -- also das bewusste Vermeiden dubioser Seiten -- bietet keinen nennenswerten Schutz. Angreifer haben es bereits in der Vergangenheit immer wieder geschafft, in Server einzubrechen und ihren Unrat dort einzuschleusen. Besonders im Visier haben sie dabei derzeit Server, die nicht ausreichend aktualisierte PHP-Software einsetzen und damit leicht zu kapern sind. Aber auch gut gewartete Web-Sites können indirekt zur Viren-Schleuder werden. So gelang es beispielsweise letztes Jahr Kriminellen, einen Ad-Server der Falk-AG zu hacken. Die Folge war, dass unter anderem populäre Sites wie The Register Seiten mit "vergifteten Anzeigen" auslieferten und damit Systeme ihrer Besucher infizierten.

Wer es noch nicht getan hat, sollte deshalb schleunigst den Patch in MS-05-037 installieren. Vor allem Endanwender sollten dazu wenn möglich die automatische Update-Funktion von Windows so einstellen, dass neue Patches automatisch im Hintergrund heruntergeladen und installiert werden. Dies beeinträchtigt den normalen Internet-Zugang nicht wesentlich, da der Update-Mechanismus im Hintergrund mit niedriger Priorität läuft. Und die immer wieder auftauchenden Verdächtigungen, Microsoft spioniere im Zuge solcher automatisierter Updates Anwender aus, ließen sich bisher in keinem einzigen Fall erhärten.

In Firmen sorgen SUS- beziehungsweise WSUS-Server (Windows Server Update Services) dafür, dass nicht jeder Anwender die Patches einzeln herunterladen muss. Des Weiteren ermöglicht es der eigene Update-Server den Administratoren, die Updates vor der Freigabe zur Installation auf Produktionssystemen zunächst selbst auf Testsystemen auf mögliche Unverträglichkeiten mit eingesetzter Soft- oder Hardware zu testen. Der Patch in MS-05-037 setzt das Kill Bit auf eine Komponente von Microsofts Java-Implementierung und verhindert damit, dass diese aus dem Internet Explorer heraus aufgerufen wird. Wer also beispielsweise Web-Applikationen einsetzt, die Microsofts Java VM nutzen, sollte diese unbedingt vorher auf mögliche Probleme testen. (ju)