Microsoft und BSI warnen vor IE-Nutzung

Das Ausmaß der am Montag berichteten 0-Day-Lücke im Internet Explorer ist größer als zunächst angenommen: Sie betrifft den Internet Explorer 6 bis 9 unter allen Windows-Versionen, wie Microsoft in der Nacht von Montag auf Dienstag in einem Security Advisory bekanntgegeben hat. Die mit Windows 8 vorinstallierte IE-Version 10 ist nicht anfällig. Laut dem Unternehmen handelt es sich um eine Use-after-free-Lücke, also einen Fehler, der beim Zugriff auf ein bereits gelöschtes oder nicht korrekt initialisiertes Speicherobjekt auftritt.

Einen Patch für die Lücke hat der IE-Hersteller indes nicht so schnell parat. Stattdessen listet er in dem Advisory eine Reihe von Workarounds auf, von denen die Installation der Exploit-Bremse EMET noch am praxistauglichsten ist. EMET aktiviert eine Reihen von Schutzfunktionen für einzelne Prozesse, was das Ausnutzen von Sicherheitslücken erschwert.

Alternativ lassen sich ActiveX und Active Scripting komplett ausschalten, indem die Sicherheit der Internet- und Intranet-Zone auf "Hoch" gesetzt werden. Das dürfte allerdings bei einer nennenswerten Anzahl von Webseiten zu Funktionseinschränkungen führen. Darüber hinaus beschreibt Microsoft, wie der IE so konfiguriert werden kann, dass er vor dem Ausführen von Skripten um Erlaubnis fragt – das ist ebenso praxisuntauglich.

Das Bundesamt für Sicherheit für Informationstechnik (BSI) warnt ebenfalls vor der IE-Lücke, empfiehlt als Workaround aber eine Option, die Microsoft nicht erwähnt hat: die Nutzung eines alternativen Browsers.

Ob die Lücke erst am nächsten planmäßigen Patchday im Oktober oder außer der Reihe gepatcht wird, ist noch offen. Wer den IE in einer verwundbaren Version nutzt, sollte sich umgehend für eine der Optionen entscheiden. Es ist nämlich bereits ein Modul für das Angriffsframework Metasploit im Umlauf, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann.

Update vom 18.09., 10:00: Auch der IE 6 ist betroffen. Die Angabe im Artikel wurde entsprechend korrigiert. (rei)