Kritische IE-Lücken

Wichtiges Sicherheits-Update für den Internet Explorer

Freitag den 21.09.2012 um 21:42 Uhr

von Frank Ziemann

IE-Update schließt kritische Lücken
Vergrößern IE-Update schließt kritische Lücken
Microsoft hat außer der Reihe ein Sicherheits-Update für den Internet Explorer 6 bis 9 veröffentlicht. Es schließt eine bereits für Angriffe ausgenutzte Lücke sowie vier weitere, kritische Schwachstellen im Browser.

Das heute Abend veröffentlichte Microsoft Security Bulletin MS12-063 behandelt fünf kritische Schwachstellen im Internet Explorer. Betroffen sind alle Versionen vom IE 6 unter Windows XP bis zum IE 9 unter Windows 7, Windows Server eingeschlossen. Eine der Schwachstellen ist unter der Bezeichnung "CVE-2012-4969" bekannt und wird unter anderem bei gezielten Angriffen auf US-amerikanische und indische Rüstungsunternehmen eingesetzt.

Die von Microsoft Mitte dieser Woche bereit gestellte Fix-it-Lösung 50939 gegen diese Sicherheitslücke wird nicht mehr benötigt. Installieren Sie stattdessen umgehend das neue kumulative Sicherheits-Update aus dem Security Bulletin MS12-063. Es wird über Windows Update verteilt und steht auch im Microsoft Download Center bereit.

Sie müssen die Fix-it-Lösung nicht wieder entfernen, bevor Sie das Sicherheits-Update installieren.

Die mit dem heutigen Sicherheits-Update beseitigte Schwachstelle ist eine so genannte "Use-after-free"-Lücke. Beim Aufruf einer entsprechend präparierten Web-Seite versucht der Internet Explorer auf ein Objekt im Speicher zuzugreifen, das bereits nicht mehr existiert. Dadurch können Speicherbereiche so durcheinander gebracht werden, dass durch den Angreifer eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt wird. Exploit-Code für die Schwachstelle ist öffentlich verfügbar, auch als Metasploit-Modul.

Außerdem hat Microsoft ein Update für den Internet Explorer 10 (Windows 8, Server 2012) bereit gestellt, das den integrierten Flash Player auf den aktuellen Stand bringen soll. Dadurch werden kritische Sicherheitslücken geschlossen, die Adobe bereits Mitte August mit einem Update auf Flash Player 11.4 beseitigt hatte. Der Flash Player im IE 10 kann jedoch nicht durch den Anwender aktualisiert werden. Vielmehr sind Anwender, wie bei Google Chrome, auf Updates angewiesen, die durch den Browser-Hersteller geliefert werden. Das Update wird automatisch herunter geladen und installiert.

Freitag den 21.09.2012 um 21:42 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (4)
  • Thor Branke 18:18 | 22.09.2012

    Zitat: deoroller
    Da hat dann hoffentlich der Admin mitgedacht.
    Ich schlage mich mit gleich zweien herum, die immer noch dem IE6 huldigen. Damit kann man nicht mal mehr die PCW-Seiten aufrufen. Ob die zwei Genies vom Patch für die 7er bis 9er wissen?

    Nein, ich würde nicht drauf wetten. :böse:

    Antwort schreiben
  • deoroller 15:25 | 22.09.2012

    Wenn andere Browser als der installierte verboten sind, ist man selbst machtlos gegen Exploits.
    Da hat dann hoffentlich der Admin mitgedacht.

    Antwort schreiben
  • dnalor1968 13:20 | 22.09.2012

    Brain.exe sollte trotzdem noch aktiviert sein!

    Antwort schreiben
  • consulting 13:08 | 22.09.2012

    Update gege Sorglosigkeit

    Sind solche Fixes eigentlich nur nötig, um die Dummköpfe zu schützen, die auf alles und jedes klicken?
    Wären nicht Rente ab 90 und 100,0 % Vollbeschäftigung sowie Ganztagsschule besser, damit nicht so viele Gelangweilte mit zu viel Zeit im Netz herumtapern und sich GeWEBskrankheiten einfangen?
    Ach ja, schöne neue Welt...!

    Antwort schreiben
1585165