Sicherheitslücke: Microsoft versäumt Update für IE 8
Die Zero-Day Initiative hat eine Sicherheitslücke in Microsofts Browser öffentlich gemacht, die ein Forscher vor über sieben Monaten entdeckt hatte. Bis jetzt gibt es von Microsoft keinen entsprechenden Patch.
- Fabian A. Scherschel
Eine über sieben Monate alte Sicherheitslücke (CVE-2014-1770) in Microsofts Internet Explorer ist von den Sicherheitsforschern der HP Zero-Day Initiative (ZDI) jetzt publik gemacht worden, nachdem Microsoft offensichtlich keine Anstalten machte, das Loch zu stopfen. Die Lücke betrifft ausschließlich Version 8 des Browsers und erlaubt es einem Angreifer, Schadcode mit den Rechten eines Nutzers auszuführen. Allerdings muss der Angreifer den Nutzer dazu bringen, den Code selbst auszuführen.
(Bild: Microsoft)
Um die Lücke zu missbrauchen muss ein Angreifer sein Opfer dazu bringen, eine präparierte Webseite zu besuchen. Das könnte durch Phishing-Mails oder Links in einem Chatprogramm geschehen. Um den Angriff abzuwehren, können Nutzer die verstärkte Sicherheitskonfiguration des Browsers einschalten. Diese ist bei Server-Versionen von Windows von Werk aus aktiviert. Außerdem empfiehlt Microsoft, die Sicherheitszone des Browsers auf "hoch" zu setzen, um ActiveX und Active Scripting zu blockieren. Das Enhanced Mitigation Experience Toolkit (EMET) soll den Angriff ebenfalls blockieren.
ZDI hatte die Lücke nach seinem Standardverfahren bekannt gemacht, welches eine Veröffentlichung von Lücken innerhalb von 180 Tagen nach dem ersten Kontakt mit dem Hersteller vorsieht. (fab)
