Der Notfall-Patch für den Internet Explorer

Mit einem eiligen Patch außer der Reihe schließt Microsoft eine Sicherheitslücke des Internet Explorer, die bereits aktiv ausgenutzt wurde, um Firmen auszuspionieren – und weil man schon mal dabei ist, werden gleich sieben weitere Lücken geschlossen.

In Pocket speichern vorlesen Druckansicht 357 Kommentare lesen
Lesezeit: 2 Min.

Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.

Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird. Zwei weitere Fehler im Speichermanagement hat angeblich bereits der Dezember-Patch für den IE so entschärft, dass sie sich nicht mehr gezielt ausnutzen lassen. Und schließlich hat Microsoft anscheinend auch das bereits bekannte XSS-Problem im Internet Explorer 8 doch noch entschärft.

Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7. Das höchste Risiko trifft zwar die Anwender älterer Versionen, bei denen Schutzmechanismen wie Data Execution Prevention (DEP) und Adress Space Layout Randomisation (ASLR) noch nicht vorhanden oder aktiv sind. Doch auch die lassen sich umgehen, so dass jeder Windows-Nutzer diesen Sammel-Patch einspielen sollte. Im Übrigen können auch andere Windows-Anwendungen für die Probleme anfällig sein, wenn sie wie Outlook Komponenten des Internet Explorer verwenden. Auch diese Applikationen werden durch den Patch geschützt.

Interessant an der Lücke ist noch, dass Microsoft mittlerweile bestätigt, dass das Problem bereits im September vergangenen Jahres via "verantwortungsvoller Offenlegung" bei ihnen gemeldet wurde. Das dürfte die Diskussion um die effizienteste Veröffentlichungsstrategie erneut anheizen. Firmen wie Google und Adobe dürften jedenfalls kaum begeistert davon sein, das zu hören. Andererseits setzten die offenbar ja auch noch Internet Explorer 6 ein.

Siehe dazu auch:

(ju)