2108731

Notfall-Update: Microsoft schließt 0-Day-Lücke im IE

19.08.2015 | 08:53 Uhr |

Mit einem außerplanmäßigen Sicherheits-Update schließt Microsoft eine Schwachstelle im Internet Explorer 7 bis 11, die bereits für Angriffe ausgenutzt wird.

Eine Woche nach dem turnusmäßigen Patch Day hat Microsoft gestern außer der Reihe ein weiteres Security Bulletin veröffentlicht. Das Bulletin MS15-093 behandelt eine als kritisch eingestufte Sicherheitslücke im Internet Explorer (IE) 7 bis 11. Sie wird bereits für Web-Attacken genutzt. Betroffen sind alle unterstützten Windows-Versionen – einschließlich Windows 10, das trotz neuem Edge-Browser auch noch den IE 11 enthält.

Details über die Schwachstelle CVE-2015-2502 sind bislang kaum bekannt. Laut Microsoft wurde sie durch den Google-Mitarbeiter Clement Lecigne an Microsoft gemeldet. Die Lücke wird bereits für Angriffe im Web ausgenutzt. Dazu muss eine Angreifer potenzielle Opfer auf eine speziell präparierte Web-Seite locken, etwa über einen Link in einer Mail, im Chat oder in sozialen Netzwerken. Er könnte jedoch auch versuchen Exploit-Code in bestehende Web-Seiten einzuschleusen.

Im Erfolgsfall genügt der Besuch einer derart präparierten Seite mit dem Internet Explorer, damit Code eingeschleust und mit den Rechten des angemeldeten Benutzers ausgeführt werden kann. Der Angreifer könnte etwa Malware installieren oder vertrauliche Daten ausspionieren.

Für Windows Vista bis 8.1 sowie Windows Server gilt: das zum Security Bulletin gehörende Sicherheits-Update 3087985 ist nicht kumulativ. Es muss zuerst das kumulative Sicherheits-Update 3078071 für den IE installiert werden, das Microsoft beim Patch Day am 11. August bereit gestellt hat. Das Update 3081444 für den IE 11 unter Windows 10 ist hingegen kumulativ.

Bereits im Juli hatte Microsoft wenige Tage nach dem Patch Day ein weiteres, außerplanmäßiges Security Bulletin (MS15-078) veröffentlicht, um eine kritische Lücke in Windows zu schließen.

0 Kommentare zu diesem Artikel
2108731