69162

Microsoft schließt kritische IE-Lücke

18.12.2008 | 08:32 Uhr |

Microsoft hat außer der Reihe ein Sicherheits-Update bereit gestellt, das die kritische Schwachstelle im Internet Explorer beseitigen soll, die in den letzten Tagen für Schlagzeilen gesorgt hat.

Gestern Abend hat Microsoft, wie angekündigt , das Security Bulletin MS08-078 veröffentlicht, in dem eine als kritisch eingestufte Sicherheitslücke in allen Versionen des Internet Explorers (IE) behandelt wird. Das begleitende Sicherheits-Update KB960714 steht zum Download bereit und sollte möglichst umgehend installiert werden. Aber Achtung: dieses Update ist nicht wie sonst kumulativ, es ersetzt also nicht das vor einer Woche bereit gestellte Sicherheit-Update aus MS08-073.

Beim regulären Patch Day am 9. Dezember hat Microsoft mit dem Security Bulletin MS08-073 das kumulative Sicherheits-Update KB958215 für den Internet Explorer veröffentlicht. Kumulativ bedeutet, es enthält alle früheren Sicherheits-Updates. Sie müssen also, egal wie veraltet Ihr Internet Explorer ist, nur dieses eine Update installieren, um auf dem Stand vom 9. Dezember 2008 zu sein.

Praktisch zeitgleich haben chinesische Forscher einen Exploit für eine Sicherheitslücke im Internet Explorer veröffentlicht - wie sie sagen aus Versehen und in der irrtümlichen Annahme, die Schwachstelle sei von Microsoft beim Patch Day beseitigt worden. Dieser Exploit-Code, der bereits etliche Wochen im Untergrund bekannt war, zog nun schnell seine Kreise. Tausende Websites wurden in den folgenden Tagen gekapert und mit dem Exploit-Code präpariert , um Malware zu verbreiten.

In Unternehmen kochte die Gerüchteküche, denn die Angestellten waren teilweise nur unzureichend darüber informiert worden, warum sie nicht mehr oder nur stark eingeschränkt ins Internet durften. Die spärlichen Informationen, die man sich weitererzählte, wurden in Zweifel gezogen, gar als "Hoax" (Falschmeldung) abgetan. In den meisten Unternehmen dominiert immer noch der Internet Explorer, weil sich Firefox nicht oder nur schwer zentral administrieren und aktualisieren lässt.

Schnell reifte bei Microsoft die Erkenntnis, dass man nicht fast fünf Wochen bis zum nächsten Patch Day im Januar warten konnte. Es hieß also "alle Mann an Bord" und so schnell wie möglich dem Problem auf den Grund gehen. Es galt flugs einen Patch zu entwickeln, der für alle unterstützen IE-Versionen auf allen unterstützten Windows-Versionen und in allen Sprachen funktioniert.

Nach ausgiebigen Tests hat Microsoft am Abend des 17. Dezember (europäischer Zeit) dieses Update für alle zur Verfügung gestellt. Privatanwender wie auch Unternehmen sollten dieses Update nun so schnell wie möglich installieren. Das kumulative IE-Update KB958215 vom 9. Dezember sollte zuerst installiert werden. Nach dem in der Regel fälligen Neustart von Windows kann dann das neuere Update KB960714 installiert werden, das meist keinen weiteren Neustart erfordert.

Microsoft Security Bulletin MS08-073 (kumulatives IE-Update)
Microsoft Security Bulletin MS08-078 (IE-Update vom 17. Dezember)

0 Kommentare zu diesem Artikel
69162