Microsoft: Sicherheitswarnung statt Patch für den Patch

Das kumulative Update für den Internet Explorer vom vorigen Patchday schließt nicht nur Lücken, sondern reißt auch eine neue auf.

In Pocket speichern vorlesen Druckansicht 257 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Microsoft hat den für heute angekündigten außerplanmäßigen Patch für den Internet Explorer SP1 aufgrund massiver Sicherheitsprobleme verschoben. Der Patch für das Update vom letzten Patchday sollte Abstürze beim Besuch von Webservern beheben, die zur Auslieferung ihrer Daten Kompression unter HTTP 1.1 einsetzen. Ursache der Abstürze ist ein Buffer Overflow bei zu langen URLs, der sich bei näherem Hinsehen als kritisches Sicherheitsloch entpuppte. Nach Angaben von Microsoft und dem Sicherheitsdienstleister eEye lässt sich darüber Code in einen PC schmuggeln und starten. Bislang wurden aber noch keine Seiten beobachtet, die dies aktiv ausnutzen. Mit dem kumulativen Update MS06-042 hat Microsoft also nicht nur Lücken geschlossen, sondern auch eine neue aufgerissen.

Betroffen ist allerdings nur der Internet Explorer SP1. Anwender, die Windows XP SP2 oder Windows Server 2003 einsetzen, sind über diese Lücke nicht angreifbar – dort war MS06-042 offenbar fehlerfrei. Anwender sollten nun aber keinesfalls das Update wieder deinstallieren. Microsoft empfiehlt stattdessen die Unterstützung für HTTP 1.1 zu deaktivieren (Extras/Internetoptionen/Erweitert/Einstellungen für HTTP 1.1). Anschließend kann der Browser aber nur noch Webseiten anzeigen, die der Server mit HTTP 1.0 ausliefert. Die Redmonder arbeiten unterdessen weiter an einem neuen Patch für den Patch, nennen aber keinen Termin für dessen Veröffentlichung.

Siehe dazu auch: (dab)