Extra-Patch für Internet Explorer

Microsoft kündigt für morgen, Mittwoch den 17.12. einen Patch für das kritische Sicherheitsloch im Internet Explorer an. [Update: Im MSRC-Blog konkretisiert Christopher Budd, man visiere die übliche Zeit gegen 10:00 a.m. Pacific Time an – in Deutschland also 19:00. ]

Es ist nicht das erste Mal, dass Micrsosoft einen Patch außerhalb der durch den monatlichen Patchday vorgegebenen Reihe veröffentlicht. Bereits im Oktober musste Microsoft kurzfristig eine kritische Lücke im RPC-Dienst ausbessern, die aktiv von Würmern ausgenutzt wurde.

Auch bei dem Sicherheitsloch im Internet Explorer handelt es sich um ein kritisches Problem, das aktiv ausgenutzt wird. Die Lücke wurde vor genau einer Woche, parallel zum Dezember-Patchday bekannt. Bis dahin beschränkten sich die Attacken damit hauptsächlich auf den chinesischen Raum. Mittlerweile werden offenbar immer mehr Webserver gezielt durch SQL Injection kompromittiert, um über den Exploit die Rechner ihrer Besucher zu infizieren. Somit sah sich Microsoft wohl gezwungen, schnellst möglich zu handeln.

Ob auch für die beiden anderen akuten Sicherheitsprobleme noch dieses Jahr Patches erscheinen, lässt sich der Ankündigung ebenfalls nicht entnehmen. Eine Lücke in Wordpad wird nach Microsofts eigenen Angaben ebenfalls bereits ausgenutzt und Microsofts SQL-Server weist offenbar ebenfalls ein noch ungepatchtes Problem auf.

Siehe dazu auch:

• Zero-Day-Exploit für Internet Explorer breitet sich aus, auf heise Security
• Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen, Bericht auf heise Security
• Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security
• Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security

(ju)