Sicherheits-Update gegen IE-Lücke kommt heute

Die heikler werdende Bedrohungslage und der wachsende öffentliche Druck haben Microsoft dazu veranlasst den geheiligten monatlichen Patch-Zyklus zu durchbrechen (wir berichteten). Heute Abend gegen 19 Uhr MEZ will Microsoft ein kumulatives Sicherheits-Update für den Internet Explorer bereit stellen, um eine kritische Lücke zu schließen.

In den IE-Versionen 6, 7 und 8 steckt eine Schwachstelle, die ausgenutzt werden kann, um beliebigen Code einzuschleusen und auszuführen. Dies ist bereit im Dezember 2009 bei gezielten Angriffen auf etliche Unternehmen geschehen. Der dabei verwendete Exploit-Code ist in der letzten Woche veröffentlicht worden. Er funktioniert allerdings nur beim IE 6 unter Windows XP.

Doch verschiedene Sicherheitsforscher haben inzwischen gezeigt, dass es mit Weiterentwicklungen dieses Codes auch möglich ist, den IE 7 und angeblich sogar den IE 8 anzugreifen. Selbst die von Microsoft empfohlene Aktivierung der Data Execution Prevention (DEP) soll dann angeblich nicht mehr helfen. Diese ist beim IE 8 ab Windows XP SP3 standardmäßig aktiviert.

Dennoch sollten insbesondere Anwender und Unternehmen, die noch mit dem Internet Explorer 6 im Web unterwegs sind, das Sicherheits-Update umgehend installieren. Es soll sich nach Angaben von Jerry Bryant im Blog des Microsoft Security Response Center um ein übliches kumulatives Sicherheits-Update handeln. Das heißt, es enthält alle bisherigen Aktualisierungen und hat die umfangreichen Tests der Qualitätssicherung erfolgreich absolviert.

Nach Angaben des Bochumer Antivirusherstellers G-Data sind im Web inzwischen bereits die ersten Angriffe auf normale Internet-Nutzer beobachtet worden. Microsofts Jonathan Ness hat dies im Security Research & Defense Blog bestätigt.