Inoffizielle Patches für WebView-Lücke im Internet Explorer

Auch für die mittlerweile massiv ausgenutzte WebView- respektive setSlice-Lücke im Internet Explorer gibt es nun erste inoffizielle Patches und Fixes, die die Lücke temporär schließen sollen, bis Microsoft ein Update an einem der kommenden Patchdays herausgibt. Eine interessante Lösung stellt dabei der Hersteller Determina zum Download bereit. Diese beseitigt den Fehler in der betroffenen Bibliothek webvw.dll nicht direkt in der Datei auf der Festplatte, sondern nur in der Instanz, die gerade im Speicher benutzt wird. Ein Test, ob der Patch wirksam ist, bietet Determina auf seinen Seiten gleich mit an.

Anwender sollten allerdings bedenken, dass Patches von Drittherstellern zwar meist getestet sind, nicht jedoch für sämtliche Umgebungen. Die Installation kann also Probleme verursachen. Leider zeigten aber die Probleme mit einigen Microsoft-Updates der letzten Patchdays, dass es trotz umfassender Tests zu Problemen und Datenverlusten kommen kann.

Alternativ zum Patch von Determina könnnen Anwender den inoffiziellen Fix des Zero Day Emergency Response Teams (ZERT) installieren. Dieser behebt den eigentlichen Fehler nicht, sondern deaktiviert nur das betroffene ActiveX-Control. Dazu nutzt das ZERT den neu vorgestellten ZProtector, ein Framework, das Windows 95 bis Windows Server 2003 vor Zero-Day-Exploits schützen soll, bis der Hersteller ein Update bereitstellt.

Das ZERT hatte kürzlich einen inoffiziellen Patch für die VML-Lücke in Microsofts Browser veröffentlicht. Kurz darauf gab Microsoft aber ein außerplanmäßiges Update heraus.

Siehe dazu auch: (dab)

• Zero-day Microsoft Internet Explorer WebViewFolderIcon ActiveX Vulnerability and Free Downloadable Fix, Patch von Determina
• Zeroday Emergency Response Team (ZERT), Patchbeschreibung von ZERT