Sicherheits-Alarm
Microsoft muss kritische IE-Sicherheitslücke stopfen
Microsoft wird noch vor dem nächsten Patch-Day (11. August) zwei Sicherheitsupdates veröffentlichen, mit denen zwei Sicherheitslücken geschlossen werden.
Es ist eigentlich eher untypisch, dass Microsoft nicht den Patch-Day abwartet, sondern außer der Reihe Sicherheitsupdates veröffentlicht. Das erste Sicherheitsupdate soll eine kritische Sicherheitslücke im Internet Explorer schließen. Das zweite Update schließt eine als "moderat" eingestufte Lücke in Visual Studio. Die beiden Updates werden laut Angaben von Microsoft am 28. Juli um 10 Uhr Pacific Time (19 Uhr deutscher Zeit) erscheinen.
Genauere Details zu den beiden Sicherheitslücken will Microsoft aus naheliegenden Gründen nicht verraten. Die Lücke in Visual Studio kann eine Reihe von Applikationsarten betreffen, heißt es seitens Microsoft. Das Update für den Internet Explorer sorgt für eine höhere Sicherheit des Browsers und die damit geschlossene Lücke steht im direkten Bezug mit der Lücke in Visual Studio.
Sicherheitsexperten gehen davon aus, dass die Lücken in der häufig genutzten Windows-Komponente Active Template Library (ATL) stecken. Hier steckte auch der kürzlich entdeckte ActiveX-Bug, für den Microsoft am 14. Juli einen Kill-Bit-Patch geliefert hatte. Microsoft könnte gezwungen sein, die Lücken noch vor dem Patch-Day zu schließen, weil in der kommenden Woche in Las Vegas die Sicherheitskonferenz Black Hat beginnt. Es könnte sein, dass auf dieser Veranstaltung die Lücken öffentlich gemacht werden und dann Attacken drohen.
Das Microsoft nicht den Patch-Day abwartet, sondern früher Sicherheitsupdates liefert, sollte für Systemadministratoren und Endanwender ein Zeichen dafür sein, dass die beiden Updates unbedingt nach Veröffentlichung sofort installiert werden sollten.
