Fix-It-Tool als Zwischenlösung gegen IE-Lücke

Für die am 9. März von Microsoft bekannt gegebene Sicherheitslücke im Internet Explorer 6 und 7 ist mittlerweile Beispiel-Code veröffentlicht worden, mit dem die Schwachstelle ausgenutzt werden kann. Microsoft arbeitet unterdessen an einem Update, nennt jedoch noch keinen Termin für dessen Bereitstellung. Als Interimslösung hat Microsoft ein Fix-It-Tool bereit gestellt.

Nach Angaben von Jerry Bryant im Blog des Microsoft Security Response Center (MSRC) hat Microsoft ein Update für den IE entwickelt, das derzeit getestet wird. Solche Tests können einige Zeit in Anspruch nehmen, da jede IE-Version auf jeder Windows-Version (soweit anwendbar) und in jeder unterstützten Sprache getestet werden muss. Sobald diese Tests erfolgreich abgeschlossen seien, werde Microsoft entscheiden, ob das Update beim folgenden Patch Day oder außer der Reihe bereit gestellt werde, so Bryant weiter.

Bis dahin bleibt die erste Empfehlung der Wechsel zum Internet Explorer 8, der nicht anfällig ist. Ist dies nicht möglich oder erwünscht, können Anwender oder Administratoren mit einem Registry-Eingriff die problematische Funktionalität in der anfälligen Komponente iepeers.dll auf Systemen mit Windows XP oder Server 2003 deaktivieren. Um dies zu vereinfachen und Fehler zu vermeiden, hat Microsoft die Fit-It-Lösung 50386 bereit gestellt.

Außerdem gibt es im gleichen KB-Artikel eine zweite Fit-It-Lösung (50285), die DEP (Data Execution Prevention) für alle IE-Versionen aktiviert, die das unterstützen. Systeme mit Windows 2000 fallen damit heraus, da sie kein DEP beherrschen. Für den IE 8 ist dieses Fix-It-Tool nicht erforderlich, da dieser DEP ohnehin standardmäßig nutzt. DEP erschwert die Ausnutzung der Schwachstelle.