221688

Sicherheits-Update gegen IE-Lücke kommt heute

21.01.2010 | 08:45 Uhr |

Microsoft hat für heute Abend ein Security Bulletin nebst Sicherheits-Update für den Internet Explorer angekündigt. Damit wollen die Redmonder eine als kritisch eingestufte Schwachstelle im IE stopfen, die inzwischen auch für Angriffe im Web genutzt wird.

Die heikler werdende Bedrohungslage und der wachsende öffentliche Druck haben Microsoft dazu veranlasst den geheiligten monatlichen Patch-Zyklus zu durchbrechen ( wir berichteten ). Heute Abend gegen 19 Uhr MEZ will Microsoft ein kumulatives Sicherheits-Update für den Internet Explorer bereit stellen, um eine kritische Lücke zu schließen.

In den IE-Versionen 6, 7 und 8 steckt eine Schwachstelle , die ausgenutzt werden kann, um beliebigen Code einzuschleusen und auszuführen. Dies ist bereit im Dezember 2009 bei gezielten Angriffen auf etliche Unternehmen geschehen. Der dabei verwendete Exploit-Code ist in der letzten Woche veröffentlicht worden. Er funktioniert allerdings nur beim IE 6 unter Windows XP.

Doch verschiedene Sicherheitsforscher haben inzwischen gezeigt, dass es mit Weiterentwicklungen dieses Codes auch möglich ist, den IE 7 und angeblich sogar den IE 8 anzugreifen. Selbst die von Microsoft empfohlene Aktivierung der Data Execution Prevention (DEP) soll dann angeblich nicht mehr helfen. Diese ist beim IE 8 ab Windows XP SP3 standardmäßig aktiviert.

Dennoch sollten insbesondere Anwender und Unternehmen, die noch mit dem Internet Explorer 6 im Web unterwegs sind, das Sicherheits-Update umgehend installieren. Es soll sich nach Angaben von Jerry Bryant im Blog des Microsoft Security Response Center um ein übliches kumulatives Sicherheits-Update handeln. Das heißt, es enthält alle bisherigen Aktualisierungen und hat die umfangreichen Tests der Qualitätssicherung erfolgreich absolviert.

Nach Angaben des Bochumer Antivirusherstellers G-Data sind im Web inzwischen bereits die ersten Angriffe auf normale Internet-Nutzer beobachtet worden. Microsofts Jonathan Ness hat dies im Security Research & Defense Blog bestätigt.

0 Kommentare zu diesem Artikel
221688