Sicherheits-Update für Internet Explorer

Wie angekündigt hat Microsoft gestern Abend außer der Reihe ein Security Bulletin veröffentlicht, das kritische Sicherheitslücken im Internet Explorer (IE) behandelt. Das zugehörige Sicherheits-Update 980182 beseitigt je nach IE-Version bis zu zehn Schwachstellen, von denen einige als kritisch eingestuft sind.

Anlass für das Update außerhalb des monatlichen Patch-Zyklus ist eine kritische Sicherheitslücke in den Versionen 6 und 7 des IE. Sie ist seit dem letzten Patch Day vom 9. März bekannt und wird bereits für Angriffe im Web ausgenutzt. Eine Anfälligkeit in der Systembibliothek iepeers.dll ermöglicht es einem Angreifer eingeschleusten Code auszuführen. Dazu genügt der Besuch einer speziell präparierten Web-Seite.

Weitere neun Sicherheitslücken betreffen zusammen genommen alle IE-Versionen von 5.01 bis 8, jede jeweils nur einen Teil davon. Diese Sicherheitslücken waren bislang nicht öffentlich bekannt, sie wurden vertraulich an Microsoft gemeldet. Je nach Windows-Version sind sie zum Teil als kritisch eingestuft.

Das kumulative Sicherheits-Update gegen diese neun Schwachstellen war ursprünglich für den nächsten Patch Day am 13. April vorgesehen. Nach Fertigstellung und ausgiebigen Tests des Updates gegen die eingangs genannte Lücke hat sich Microsoft entschlossen, das komplette Update sowie das Security Bulletin MS10-018 zum Schutz seiner Kunden bereits zwei Wochen früher bereit zu stellen.

Am Internet Explorer bleibt für Microsoft jedoch weiterhin einiges zu tun. Im Rahmen des Hacker-Wettbewerbs Pwn2own hat der Sicherheitsforscher Peter Vreugdenhil in der letzten Woche den IE 8 mit einem Exploit für eine bis dahin nicht bekannte Schwachstelle gehackt. Außerdem ist seit Anfang März die so genannte "F1-Lücke" bekannt, die Microsoft noch nicht geschlossen hat. Sie betrifft vor allem Windows XP, nicht jedoch Windows 7 und Vista.