Sicherheits-Update stopft kritische Lücke im Internet Explorer

Vergrößern Microsoft schließt kritische IE-Lücke

Bereits seit Ende 2012 ist eine Sicherheitslücke im Internet Explorer (IE) bekannt, die es einem Angreifer ermöglicht beliebigen Code einzuschleusen. Bekannt wurde sie dadurch, dass auf bestimmten Websites Exploit-Code für diese Lücke entdeckt wurde. Microsoft hat am Silvestertag zunächst ein Fix-it-Tool bereit gestellt, um den dabei genutzten Angriffsvektor zu blockieren.

Gestern Abend hat der Windows-Hersteller, nach kurzfristiger Ankündigung am Sonntag, ein Sicherheits-Update bereit gestellt, das die eigentliche Schwachstelle beseitigen soll. Anfällig sind nur die IE-Versionen 6, 7 und 8 – IE 9 und 10 sind nicht betroffen.

Das Update zum Security Bulletin MS13-008 ist nicht wie sonst üblich kumulativ. Die meisten Sicherheits-Updates für den Internet Explorer enthalten alle früheren Korrekturen. Sie setzen somit nicht voraus, dass Benutzer vor der Installation des Updates einen bestimmten Aktualisierungsstand herstellen.

Anders in diesem Fall: Voraussetzung für die Installation des neuesten Updates ist, dass auf dem PC bereits das kumulative Sicherheits-Update aus dem Security Bulletin MS12-077 vom 11. Dezember 2012 vorhanden ist. Bei einem Rechner mit aktivierten automatischen Windows Update sollte dies der Fall sein. Prüfen Sie dies jedoch vorsichtshalber nach.

Dazu rufen Sie Windows Update über die Systemsteuerung auf und klicken auf "Updateverlauf anzeigen". In der Liste der installierten Updates sollte es einen Eintrag geben, der sinngemäß lautet: "Kumulatives Sicherheitsupdate für Internet Explorer [...] (KB2761465)" und in der nächsten Spalte sollte "Erfolgreich" stehen.

Den von Microsoft so genannten "Shim" (Unterlegscheibe), den das Fix-it-Tool installiert hat, müssen Sie zwar nicht unbedingt wieder entfernen – er verlangsamt jedoch den Start des Internet Explorer und wird auch nicht mehr benötigt. Um ihn zu entfernen, führen Sie das Fix-it-Tool 50972 aus.