zurück zum Artikel

Mit Hilfe eines Fix-it-Tools soll ein System provisorisch vor Angriffen durch die seit Wochenanfang bekannte IE-Lücke geschützt werden können. Eine endgültige Lösung für das Problem soll sehr bald folgen.

Microsoft hat ein Fix-it-Tool herausgegeben [1], mit dem die kritische Schwachstelle [2] im Internet Explorer bis zum Erscheinen eines Patches provisorisch abgedichtet werden kann. Den endgültigen Patch will das Unternehmen ab dem morgigen Freitag über Windows Update verteilen, wie es in seinem Sicherheitsblog angekündigt [3] hat.

Wer auf den Internet Explorer angewiesen ist, sollte nicht bis morgen warten und umgehend das Fix-it-Tool installieren. Andernfalls kann man sich freilich auch aus der Schusslinie bringen, indem man einen anderen Browser nutzt. Die Lücke betrifft die IE-Versionen 6 bis 9 unter sämtlichen Windows-Versionen.

Durch die Schwachstelle kann das System beim Besuch einer speziell präparierten Webseite mit Schadcode infiziert werden. Der Angriffscode kann quasi überall lauern – Cyber-Kriminellen gelingt es immer wieder, in namhafte Webseiten einzusteigen und diese als Virenschleuder zu missbrauchen. Die Lücke wird bereits aktiv für Angriffe ausgenutzt und die hierzu nötigen Tools sind frei im Internet erhältlich.

Die Schwachstelle befindet sich in der Funktion CMshtmlEd::Exec(). Ein Angreifer kann provozieren, dass der Internet Explorer auf einen bereits freigegebenen Speicherbereich zugreift (Use-after-free). Das führt dazu, dass der IE Shellcode ausführt, den der Angreifer zuvor im Speicher platziert hat. (rei [4])

URL dieses Artikels:
https://www.heise.de/-1711931

Links in diesem Artikel:
[1] http://support.microsoft.com/kb/2757760
[2] https://www.heise.de/news/Microsoft-und-BSI-warnen-vor-IE-Nutzung-1709711.html
[3] http://blogs.technet.com/b/msrc/archive/2012/09/19/internet-explorer-fix-it-available-now-security-update-scheduled-for-friday.aspx
[4] mailto:rei@heise.de

Copyright © 2012 Heise Medien