Eine gute Woche nach dem turnusmäßigen Update-Dienstag liefert Microsoft noch einen Nachschlag. Eine kritische Sicherheitslücke im Internet Explorer (IE) wird ausgenutzt, um IE-Nutzer im Web zu attackieren. Es handelt sich also um eine so genannte 0-Day-Lücke. Am Mittwochabend hat Microsoft Sicherheits-Updates bereitgestellt, um die Schwachstelle zu beheben. Die IE-Lücke hat die Kennung CVE-2018-8653 . Sie ermöglicht es einem Angreifer beliebigen Code einzuschleusen und mit den Berechtigungen des angemeldeten Benutzers auszuführen. Dazu muss er potenzielle Opfer lediglich auf eine präparierte Web-Seite locken oder eine gut besuchte Seite kompromittieren. Der Fehler steckt in der Scripting Engine und deren Speicherbehandlung. Sie betrifft zumindest alle noch unterstützten IE-Versionen. Das sind der IE 11 unter Windows 7, 8.1, RT 8.1 und 10 sowie Windows Server 2008 R2, 2012 R2, 2016 und 2019. Ferner der IE 10 unter Windows Server 2012 sowie IE 9 unter Server 2008. Für Windows 10 sowie Server 2016 und 2019 gibt es separate Updates, für ältere Windows-Versionen kumulative Sicherheits-Updates für den Internet Explorer. Windows-Nutzer sollten das Update umgehend einspielen. Auch wenn Sie den IE nicht mehr zum Surfen im Web nutzen, kann es weitere Angriffsvektoren geben, die etwa über präparierte Office-Dokumente laufen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.