Inoffizieller Patch für IE-Lücke createTextRange()

Microsoft lässt sich bekanntlich noch etwas Zeit, bis es den Patch für die aktuelle, kritische Sicherheitslücke im Internet Explorer veröffentlicht (die PC-WELT berichtete). Vor dem 11. April ist mit dem Flicken vermutlich nicht zu rechnen. Dafür existiert mittlerweile ein inoffizieller Patch, den ein Sicherheits-Unternehmen veröffentlicht hat.

Der Patch stammt von Eeye Digital Security. Das Sicherheits-Unternehmen bezeichnet den Flicken als "vorläufigen" Patch.

Angesichts der Tatsache, dass bereits etliche Seiten entdeckt wurden, die diese ernste Sicherheitslücke im Internet Explorer ausnutzen, empfiehlt sich die Installation dieses Patches vermutlich für alle Anwender, die nicht auf einen anderen Browser umsteigen wollen und zudem Active Scripting im Internet Explorer nutzen müssen.

Microsoft nimmt die von dieser Lücke ausgehende Bedrohung durchaus ernst: "Wir arbeiten Tag und Nacht an der Entwicklung eines Sammel-Updates für den Internet Explorer, der diese Schwachstelle beseitigt", erklärte Stephen Toulouse, Chef des Microsoft Security Response Centers. Nach den bisherigen Planungen von Microsoft soll der neue Sammelpatch für den IE am gewohnten Patch-Tag im April, also am 11.4. zur Verfügung gestellt werden. Anwender, die ihr Windows so konfiguriert haben, dass es Updates automatisch aufspielt, müssen sich um nichts kümmern.

Angesichts der Gefahr, die von dieser Lücke ausgeht, scheint es allerdings nicht ausgeschlossen, dass der Redmonder Konzern den Flicken für den IE doch außerplanmäßig veröffentlicht. Microsoft macht das von der Entwicklung des realen Gefahrenpotenzials abhängig: Sollten immer mehr Webseiten auftauchen, die diese Schwachstelle ausnutzen und den Anwendern dadurch Trojaner unterjubeln wollen, so würde Microsoft reagieren, wie Toulouse verspricht.

Der inoffizielle Patch ist kostenlos. Eeye zufolge soll sich der 950 KB große Patch automatisch entfernen, wenn Microsofts offizieller Patch ausgeliefert wird.