Microsoft hat eine Sicherheitsmeldung veröffentlicht, in der es vor einer neuen Schwachstelle im Internet Explorer warnt. Es sind bereits Angriffe bekannt, bei denen diese Lücke ausgenutzt wird. Ein Sicherheits-Update gibt es noch nicht.
Als in Europa bereits das Wochenende begonnen hatte, ist Microsoft am letzten Freitag mit einer
Sicherheitswarnung
an die Öffentlichkeit getreten. In der ersten Meldung dieser Art im neuen Jahr geht es um eine so genannte 0-Day-Lücke im Internet Explorer (IE) 9 bis 11, die bereits für Angriffe im Web genutzt wird. Microsoft spricht in diesem Zusammenhang von „begrenzten, gezielten Angriffen“. Man arbeite an einem Sicherheits-Update. Bis dahin gibt nur einen Workaround, um die Angriffsfläche zu reduzieren.
Die inzwischen mit der Kennung CVE-2020-0674 versehene Sicherheitslücke steckt im Scripting-Modul „JScript.dll“. Dieses ist nicht für Javascript zuständig, sondern nur für Microsofts eigene Scriptsprache JScript. JScript findet kaum noch Verwendung, da es nur im IE funktioniert. Für das heute allgegenwärtige Javascript greift der Internet Explorer auf die Bibliothek „Jscript9.dll“ zu, die laut Microsoft nicht betroffen ist.
Betroffen sind prinzipiell alle unterstützten Windows-Versionen. Für Desktop-Systeme (Windows 7 bis 10) ist die Lücke als kritisch einzustufen. Der Internet Explorer auf Windows Server 2008 bis 2019 läuft hingegen standardmäßig in einem eingeschränkten Modus, der so genannten “„verstärkten Sicherheitskonfiguration“ (Enhanced Security Configuration). Wenn die für Angriffe präparierte Website nicht der Zone für vertrauenswürdige Sites zugeordnet ist, wird dadurch das Risiko für einen erfolgreichen Angriff reduziert.
Während Microsoft angibt, an einem Sicherheits-Update zu arbeiten, lässt es offen, ob ein solches Update noch vor dem nächsten regulären Update-Dienstag am 11. Februar zur Verfügung stehen wird. Microsoft verweist vielmehr darauf, dass man Sicherheits-Updates aus guten Gründen zu festen Terminen bereitstelle. Bis ein Update zur Verfügung steht, empfiehlt Microsoft, die Zugriffsrechte für die Datei JScript.dll einzuschränken, falls Sie Grund zu der Annahme haben, Ziel von Angriffen werden zu können.
Die Beschränkungen richten Sie auf einer Kommandozeile mit Administratorrechten und dem Befehl „cacls“ ein:
32-Bit Windows:
takeown /f %windir%\system32\jscript.dllcacls %windir%\system32\jscript.dll /E /P jeder:N 64-Bit Windows:
takeown /f %windir%\syswow64\jscript.dllcacls %windir%\syswow64\jscript.dll /E /P jeder:Ntakeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P jeder:N
Bevor Sie ein zukünftiges Sicherheits-Update installieren, müssen Sie diese Einschränkungen wieder aufheben:
32-Bit Windows:
cacls %windir%\system32\jscript.dll /E /R jeder 64-Bit Windows:
cacls %windir%\syswow64\jscript.dll /E /R jeder cacls %windir%\system32\jscript.dll /E /R jeder
Für private Anwender ist es allerdings sinnvoller, ganz auf den IE zu verzichten, falls Sie das nicht ohnehin längst so halten. Der Internet Explorer ist hoffnungslos veraltet und sollte nur noch für interne Zwecke verwendet werden, wenn dies aus Kompatibilitätsgründen erforderlich ist. Für alles andere sind Edge,
Firefox
,
Chrome
und andere Browser klar die bessere Wahl.
Berichte über eine neue IE-Lücke waren bereits in der Woche vor dem
Patch Day
aufgetaucht, als Mozilla eine
0-Day-Lücke in Firefox
durch ein nachgeschobenes Update auf Firefox 72.0.1 geschlossen hatte. Diese war durch das chinesische Sicherheitsunternehmen Qihoo 360 gemeldet worden. Deren Tweet über eine 0-Day-Lücke im IE wurde rasch wieder gelöscht. Die Entdeckung der nun von Microsoft offiziell bestätigten Schwachstelle geht auf Qihoo 360 und Google zurück.