Das Ausmaß der am Montag berichteten 0-Day-Lücke im Internet Explorer ist größer als zunächst angenommen: Sie betrifft den Internet Explorer 6 bis 9 unter allen Windows-Versionen, wie Microsoft in der Nacht von Montag auf Dienstag in einem Security Advisory bekanntgegeben hat. Die mit Windows 8 vorinstallierte IE-Version 10 ist nicht anfällig. Laut dem Unternehmen handelt es sich um eine Use-after-free-Lücke, also einen Fehler, der beim Zugriff auf ein bereits gelöschtes oder nicht korrekt initialisiertes Speicherobjekt auftritt.
Das Aktivieren von EMET ist schnell erledigt: Man klickt im Hauptfenster auf "Configure Apps" und fügt die iexplore.exe mit den Standardeinstellungen hinzu. Vergrößern Einen Patch für die Lücke hat der IE-Hersteller indes nicht so schnell parat. Stattdessen listet er in dem Advisory eine Reihe von Workarounds auf, von denen die Installation der Exploit-Bremse EMET noch am praxistauglichsten ist. EMET aktiviert eine Reihen von Schutzfunktionen für einzelne Prozesse, was das Ausnutzen von Sicherheitslücken erschwert.
Alternativ lassen sich ActiveX und Active Scripting komplett ausschalten, indem die Sicherheit der Internet- und Intranet-Zone auf "Hoch" gesetzt werden. Das dürfte allerdings bei einer nennenswerten Anzahl von Webseiten zu Funktionseinschränkungen führen. Darüber hinaus beschreibt Microsoft, wie der IE so konfiguriert werden kann, dass er vor dem Ausführen von Skripten um Erlaubnis fragt – das ist ebenso praxisuntauglich.
Das Bundesamt für Sicherheit für Informationstechnik (BSI) warnt ebenfalls vor der IE-Lücke, empfiehlt als Workaround aber eine Option, die Microsoft nicht erwähnt hat: die Nutzung eines alternativen Browsers.
Ob die Lücke erst am nächsten planmäßigen Patchday im Oktober oder außer der Reihe gepatcht wird, ist noch offen. Wer den IE in einer verwundbaren Version nutzt, sollte sich umgehend für eine der Optionen entscheiden. Es ist nämlich bereits ein Modul für das Angriffsframework Metasploit im Umlauf, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann.
Schwere Sicherheitslücke im Internet Explorer
Deutsche Behörde rät derzeit von der Nutzung des Browsers ab. Eine Schwachstelle ermöglicht Fremden das Ausführen von Schadcode. Windows XP, Vista und Windows 7 sind betroffen - Microsoft bietet mittlerweile Sicherheitssoftware an.
Das Bundesamt für Sicherheit in der Informationstechnik in Deutschland warnt vor dem Einsatz des Internet Explorer. Es wurde eine neue Schwachstelle entdeckt. Die Lücke werde der Behörde zufolge bereits von Kriminellen ausgenutzt. Wer auf präparierte Seiten surft, fängt sich via via Drive-By-Download einen Schadcode ein. Der dafür notwendige Angriffscode sei bereits frei im Internet verfügbar.
Dies bestätigt auch die Sicherheitsfirma Alien Vault, die sich mit dem Problem bereits beschäftigt. Sie zieht Parallelen zum Zero-Day-Exploit bei Oracles Java-Software und vermutet die selben Urheber. Laut der Firma werde ein „Poison Ivy"-Trojaner installiert.
Alle Windows-Versionen betroffen
Betroffen sind IE 7 und IE 8 unter Windows XP sowie IE 8 und IE 9 unter Windows 7 und Vista. Laut der deutschen Behörde gibt es von Seiten Microsofts noch keinen Patch. Sie rät daher auf alternative Browser umzusteigen, bis das Loch gestopft ist. Microsoft, so berichtet Ars Technica, hat bereits reagiert und untersucht die Lücke.
Microsoft reagiert
Microsoft hat die Nutzer seines Web-Browsers mittlerweilse aufgefordert, umgehend eine Sicherheitssoftware für das Programm zu installieren. Mit der Installation der Sicherheitssoftware bietet Microsoft nach eigenen Angaben eine Übergangslösung an, um Zeit zu gewinnen bis zur Beseitigung des Problems beziehungsweise bis zur Einführung einer neuen Version des Internet Explorers. Das Sicherheitsprogramm mit dem Namen Enhanced Mitigation Experience Toolkit, oder EMET, steht auf der Microsoft-Internetseite zur Verfügung. (
https://www.microsoft.com/en-us/downloa ... x?id=29851)