Microsoft patcht Internet Explorer außer der Reihe
Noch heute Nacht soll ein Update erscheinen, das die Sicherheitslücke im Internet Explorer schließt, die im Internet bereits aktiv ausgenutzt wird.
In einer Vorabbenachrichtigung erklärt Microsofts Sicherheitsteam, dass man am 30. März einen Patch für den Internet Explorer veröffentlichen wolle. Der wird dann wahrscheinlich wie üblich nach deutscher Zeit heute Abend gegen 20 Uhr erscheinen.
Damit kommt das Update außerhalb des gewohnten, monatlichen Patch-Rhythmus. Ursache dafür ist die Tatsache, dass die Sicherheitslücke in der Bibliothek iepeers.dll im Internet bereits aktiv ausgenutzt wird; am letzten Freitag ist sogar noch eine verbesserte Version des Exploits veröffentlicht worden. Die Lücke war Anfang März bekannt geworden, wurde beim darauffolgenden Patchday jedoch noch nicht berücksichtigt.
Die Angriffe betreffen zwar nur Internet Explorer 6 und 7; laut Sicherheitsnotiz schließt das Update jedoch auch eine kritische Lücke im Internet Explorer 8 auf Windows 7. Ob das bedeutet, dass die Redmonder auch gleich das Sicherheitsloch schließen, über das der Browser letzte Woche im Rahmen des Pwn2wn-Wettbewerbs vorgeführt wurde, lässt die Vorabmeldung jedoch leider offen.
Siehe dazu auch:
- Zero-Day-Exploit für den Internet Explorer auf heise Security
- Angriffe über neu entdeckte Lücke in Internet Explorer 6 und 7 auf heise Security
- Exploit für neue IE-Lücke auf heise Security
- Microsoft Security Bulletin Advance Notification for March 2010 – wird beim Erscheinen durch das Advisory ersetzt
(ju)
