Exploit-Code veröffentlicht
Microsoft warnt vor neuer IE-Lücke
Im Internet Explorer 6 bis 8 steckt eine als kritische eingestufte Sicherheitslücke, für deren Ausnutzung Exploit-Code veröffentlicht worden ist. Microsoft hat eine Sicherheitsmeldung dazu heraus gegeben.
Bei letzten Patch Day am 13. Dezember hat Microsoft ein neues kumulatives Sicherheits-Update für den Internet Explorer bereit gestellt. Kurz darauf ist eine neue Sicherheitslücke bekannt geworden, für die bereits Exploit-Code verfügbar ist. Die Schwachstelle kann für Drive-by Infektionen ausgenutzt werden. Betroffen sind alle unterstützten IE-Versionen.
In seiner Sicherheitsmitteilung 2488013 gibt Microsoft an, die Schwachstelle bestehe aus einer CSS-Lücke (Cascading Style Sheets), die zum Einschleusen und Ausführen von beliebigem Code nutzbar sei. Alle unterstützten IE-Versionen (IE 6 bis 8) auf allen Windows-Versionen von XP bis Windows 7 seien anfällig, einschließlich der Server-Versionen. Reale Angriffe seien jedoch bislang noch nicht bekannt.
Microsoft empfiehlt die Verwendung seines Programms EMET (Enhanced Mitigation Experience Toolkit), um zusätzliche Schutzmaßnahmen für den IE zu aktivieren, die in Windows vorhanden, jedoch nicht in allen Fällen standardmäßig für den Internet Explorer aktiviert sind. Dazu können etwa DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) zählen. Alternativ können Sie die Sicherheitsstufe im IE auf "hoch" stellen, sodass die Ausführung von ActiveX-Elementen deaktiviert wird.
Ein Sicherheits-Update für den Internet Explorer ist noch nicht verfügbar. Microsoft will wie üblich nach Abschluss seiner Untersuchungen festlegen, ob und wann eine Aktualisierung bereit gestellt wird.
