1829206

0-Day-Lücke im IE wird ausgenutzt

18.09.2013 | 17:14 Uhr |

Microsoft meldet eine gravierende Sicherheitslücke in allen Versionen des Internet Explorer. Ein Patch steht noch nicht bereit, jedoch bietet Microsoft eine Fix-it-Lösung an, die den genutzten Angriffsvektor blockiert.

Im Internet Explorer steckt eine kritische Sicherheitslücke, die bereits für gezielte Angriffe ausgenutzt wird. Web-Angriffe aus breiterer Front lassen da sicher auch nicht mehr lange auf sich warten. Microsoft hat die Sicherheitsempfehlung 2887505 veröffentlicht, in der das Unternehmen über gezielte Angriffe auf Internet Explorer (IE) 8 und 9 berichtet. Anfällig seien jedoch alle unterstützten Versionen, beginnend beim IE 6 und bis zum IE 11, dessen finale Fassung mit Windows 8.1 erscheinen soll.

Microsoft gibt an, die ausnutzbare Schwachstelle entstehe durch die Art und Weise, wie der IE auf Objekte im Speicher zugreife, die bereits gelöscht oder gar nicht erst ordnungsgemäß angelegt worden seien. Ein Angreifer, der die Lücke ausnutze, könne Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Dazu würde er eine speziell präparierte Web-Seite erstellen und potenzielle Opfer dorthin locken.

Ein Sicherheits-Update für den Internet Explorer, das diese Sicherheitslücke schließen würde, hat Microsoft noch nicht anzubieten. Einstweilen empfiehlt das Unternehmen seine eigens erstellte Fix-it-Lösung zu installieren. Diese blockiert bekannte Angriffe, die versuchen diese Schwachstelle auszunutzen.

Eine weitere Möglichkeit, die auch den Schutz vor der Ausnutzung anderer Sicherheitslücken verbessert, ist der Einsatz des Microsoft-Programms EMET (Enhanced Mitigation Experience Toolkit). Es erzwingt automatisch die Nutzung in Windows (vor allem in neueren Versionen) eingebauter Schutzmechanismen beim Internet Explorer. Optional können auch weitere Programme in den Schutz einbezogen werden. Die eine oder andere Software von Drittherstellern reagiert darauf allerdings allergisch, da sie zu etwas gezwungen wird, auf das sie ihre Entwickler nicht vorbereitet haben.

Microsoft will nach Abschluss der Untersuchungen „angemessene Maßnahmen” zum Schutz seiner Kunden ergreifen. Dies schließt die Möglichkeit ein, Sicherheits-Updates auch außerhalb des monatlichen Patch-Day-Turnus bereit zu stellen.

0 Kommentare zu diesem Artikel
1829206