Microsoft schließt Zero-Day-Lücke im Internet Explorer
Der Patch soll die Lücke für alle Versionen des Internet Explorer schließen und steht für alle Windows-Versionen zur Verfügung. Anwender sollten das Update so schnell wie möglich installieren, da die Zahl infizierter Webseiten stetig wächst.
- Daniel Bachfeld
Microsoft hat wie angekündigt das Sicherheits-Update zum Schließen der Zero-Day-Lücke außerhalb der Reihe veröffentlicht. Der Patch soll die Lücke für alle Versionen des Internet Explorer 5.01 bis 7 schließen und steht für alle verfügbaren Windows-Versionen zur Verfügung. Auch die Beta 2 der Version 8 ist von dem Sicherheitsproblem betroffen, für sie steht ebenfalls ein Update bereit.
In allen Fällen sollten Anwender nicht zögern, das Update zu installieren. IE-Nutzer, die das automatische Update aus bestimmten Gründen deaktiviert haben, sollten dies wieder einschalten oder die Patches manuell herunterladen. Im Security Bulletin MS08-078 sind alle erforderlichen Links aufgeführt.
Mit dem Patch sollten Anwender zumindest vor den aktuell kursierenden Exploits geschützt sein, die derzeit auf diversen Webseiten zu finden sind. Zumindest funktionierten in einem Kurztest von heise Security mehrere verbreitete Exploits nach der Installation des Patches nicht mehr. Zwar handelt es sich bei den betroffenen Web-Sites meist um Porno-Seiten, allerdings hat es auch schon seriöse Seiten getroffen. So wurde etwa Berichten zufolge die Webseite des Anbieters von Mainboards Abit durch SQL-Injection infiziert.
Die Lücke im Internet Explorer beruht auf einem Problem im Data Binding, sodass unter Umständen ein Objekt freigegeben wird, ohne dass die dazugehörige Arraylänge aktualisiert wird. Damit ist der Zugriff auf den Speicherplatz des gelöschten Objekts möglich, was sich zum Einschleusen und ausführen von Code ausnutzen lässt. Dies lässt sich nicht nur durch fehlerhafte SPAN-Tags in XML-Dokumenten ausnutzen, wie ursprünglich angenommen wurde.
Schon im Oktober musste Microsoft eine kritische Lücke im Server-Dienst außer der Reihe patchen. Für die bekannten Lücken in Wordpad und Microsofts SQL-Server 2000 und 2005 gibt es indes keinen Patch, obwohl zumindest die in Wordpad bereits ausgenutzt wird.
Siehe dazu auch:
- Microsoft Security Bulletin MS08-078 -Sicherheitsupdate für Microsoft Internet Explorer (960714), Beschreibung von Microsoft
- Extra-Patch für Internet Explorer, auf heise Security
- Zero-Day-Exploit für Internet Explorer breitet sich aus, auf heise Security
- Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen, Bericht auf heise Security
- Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security
- Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
(dab)
