250365

Microsoft vertagt Update für das IE-Update

23.08.2006 | 08:37 Uhr |

Ein Pufferüberlauf im aktualisierten Internet Explorer kann ausgenutzt werden, um schädlichen Code einzuschleusen und auszuführen.

Microsoft hat die eigentlich für den 22. August angekündigte Bereitstellung einer überarbeiteten Fassung des kumulativen Sicherheits-Updates für den Internet Explorer auf unbestimmte Zeit verschoben. Zugleich haben Microsoft und Eeye Digital Security unabgestimmt gemeldet, eine vom bislang erhältlichen Update eingebrachte Sicherheitslücke könne ausgenutzt werden, um schädlichen Code einzuschleusen und auszuführen.

Stephen Toulouse vom Microsoft Sicherheitsteam begründet im Blog des Teams die Verschiebung mit Problemen bei der Qualitätssicherung. Kurz vor der Veröffentlichung sei ein Fehler entdeckt worden, der bei einigen Kunden eine Installation des Updates verhindert hätte. Sobald der Fehler behoben sei, werde Microsoft die neue Fassung des Sicherheits-Updates bereit stellen.

Zugleich räumt "Stepto" ein, dass die am 8. August mit dem Security Bulletin MS06-042 veröffentlichte Version eine neue Anfälligkeit des IE für einen Pufferüberlauf mit sich bringt. Das Sicherheitsunternehmen Eeye ist zum Unwillen Microsofts mit der Nachricht vorgeprescht, diese Schwachstelle sei ausnutzbar und es könne schädlicher Code eingeschleust und mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Im Gegensatz zur von ihm kritisierten Sicherheitempfehlung von Eeye macht Toulouse jedoch auch Angaben zu Details dieser Sicherheitslücke, die von IE-Chefentwickler Tony Chor noch ergänzt werden. Wenn eine sehr lange Web-Adresse (URL) zu einer Seite führt, die Version 1.1 des HTTP-Protokolls zusammen mit Datenkompression verwendet, kann es zu einem Pufferüberlauf in der Datei "urlmon.dll" kommen und der IE stürzt ab. Gelingt es einem Angreifer eine Seite in geeigneter Weise zu präparieren und Anwender auf diese Seite zu locken, kann er unter Umständen die Kontrolle über den PC eines Besuchers erlangen.

Da das kumulative Sicherheits-Update jedoch mehrere andere, vergleichbar schwerwiegende Fehler im Internet Explorer beseitigt, empfehlen sowohl Microsoft als auch unabhängige Fachleute, Anwender sollten das Update weiterhin installieren. Die neue Anfälligkeit tritt nur bei einem Internet Explorer 6.0 mit Service Pack 1 (SP1) auf, der auf Rechnern mit Windows XP bis einschließlich Service Pack 1 oder Windows 2000 installiert ist. Windows XP mit Service Pack 2 sowie Windows 2003 Server sind hingegen nicht betroffen, ebenso IE 5.x und der neue IE 7.0.

Die von Microsoft am 22. August zu diesem Thema veröffentlichte Sicherheitsempfehlung 923762 nennt die Deaktivierung von HTTP 1.1 in den Internetoptionen als Interimslösung. Anwender von Windows XP, die das Service Pack 2 noch nicht installiert haben, sollten dies nunmehr nachholen, zumal die Unterstützung für Windows XP SP1 im Oktober endet. Eine weitere Alternative ist der Wechsel zu einem anderen Browser, etwa Firefox oder Opera.

0 Kommentare zu diesem Artikel
250365