Neue IE-Anfälligkeit wird aktiv ausgenutzt
Eine zuvor nicht bekannte Sicherheitslücke im Internet Explorer wird schon auf diversen Websites eingesetzt, um Adware und Spyware einzuschleusen. Microsoft hat bereits eine Sicherheitsempfehlung dazu veröffentlicht.
Die Forscher bei Sunbelt Software haben eine Reihe von Websites entdeckt, die eine bis zu diesem Zeitpunkt noch nicht öffentlich bekannte Sicherheitslücke im Internet Explorer ausnutzen. Der Schwachpunkt liegt in der VML-Funktionalität (Vector Markup Language) des Browsers und führt zu einem Pufferüberlauf, durch den der IE abstürzt. Mit speziell präparierten Web-Seiten können Angreifer so beliebigen, schädlichen Code einschleusen.
Adam Thomas von Sunbelt, der die Websites entdeckt hat, auf denen diese Anfälligkeit bereits ausgenutzt wird, hat in einem Fall näher untersucht, welche Schädlinge auf diesem Wege verbreitet werden. Allein bei einem einzigen Besuch einer solchen Website kam er auf mehrere Dutzend verschiedene Exemplare von Adware und Spyware, wie im Sunbelt Blog nachzulesen ist.
Nach Angaben von Websense handelt es sich bei den bislang gefundenen Websites um solche, die bereits seit geraumer Zeit dafür bekannt sind, dass sie das Web Attacker Toolkit einsetzen. Diese kommerziell vertriebene Script-Sammlung wird regelmäßig um neue Exploits von Sicherheitslücken erweitert. Die Forscher von Websense erwarten (http://www.websense.com/securitylabs/alerts/alert.php?AlertID=628), dass recht bald auch andere Web-Seiten die VML-Lücke ausnutzen werden.
Microsoft bestätigt die VML-Anfälligkeit in seiner Sicherheitsempfehlung 925568 und kündigt für den 10. Oktober, den nächsten Patch Day, ein Security Bulletin dazu an. Dieses könne nebst Sicherheits-Update auch schon früher bereit gestellt werden. Bis dahin empfiehlt Microsoft die Deregistrierung der anfälligen Programmbibliothek "vgx.dll".
Geben Sie dazu auf der Kommandozeile (Eingabeaufforderung oder Start / Ausführen...) diesen Befehl ein:
regsvr32 -u "%ProgramFiles%\Gemeinsame Dateien\Microsoft Shared\VGX\vgx.dll"
Die Anführungszeichen sind notwendig, da die Pfadangabe Leerzeichen enthält. Es erscheint ein Bestätigungsdialog, den Sie mit [OK] schließen. Zur Ausführung dieser Aufgabe sind Administratorrechte erforderlich. Sie können diesen Vorgang bei Bedarf rückgängig machen, indem Sie den gleichen Befehl ohne den Parameter "-u" eingeben.
Verschiedene Antivirus-Programme erkennen den Exploit-Code in den präparierten Web-Seiten. So meldet zum Beispiel Symantec (Norton Antivirus) "Trojan.Vimalov", McAfee findet ihn als "Exploit-VMLFill" und Trend Micro als "EXPL_EXECOD.A".
Andere Browser wie Firefox oder Opera sind nicht betroffen. Setzen Sie also den Internet Explorer nur für Windows Update ein sowie für wenige, als vertrauenswürdig bekannte Seiten, die Sie mit den alternativen Browsern nicht oder nur eingeschränkt nutzen können.
