Suchen

Notfall-Patch für Internet Explorer Exploit-Code für 0-Day-Schwachstelle erzwingt Microsoft-Patch

| Redakteur: Stephan Augsten

Mit einem außerplanmäßigen Patch schließt Microsoft derzeit eine Zero-Day-Schwachstelle in Internet Explorer 6 und 7, die das externe Ausführen von Codesequenzen ermöglicht. Darüber hinaus behebt das Sicherheitsupdate neun weitere Anfälligkeiten im Internet Explorer, die eigentlich für den Patchday am 13. April 2010 vorgesehen waren.

Firma zum Thema

Notfallplan: Um mögliche Angriffe auf den Internet Explorer zu vermeiden, stellt Microsoft einen Emergency Patch bereit.
Notfallplan: Um mögliche Angriffe auf den Internet Explorer zu vermeiden, stellt Microsoft einen Emergency Patch bereit.
( Archiv: Vogel Business Media )

Microsoft gibt Details zur Zero-Day-Schwachstelle im Internet Explorer (IE) bekannt, auf die der Hersteller bereits am vergangenen Patchday hingewiesen hatte. Das Problem besteht darin, dass Internet Explorer 6 und 7 ungültige Zeigerreferenzen auf bereits gelöschte Objekte nicht aufheben.

Mithilfe spezieller Attacken kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, um anschließend Code von extern auf der betroffenen Maschine auszuführen (Remote Code Execution). Der Notfall-Patch war dringend notwendig, da entsprechender Angriffscode (Exploit Code) bereits publiziert und ins Metasploit-Framework eingebunden wurde.

Während die Browser-Versionen 6 und 7 definitiv von der Schwachstelle betroffen sind, soll sich das Problem laut Microsoft nicht auf den Internet Explorer 8 auswirken. Im ursprünglichen Security Advisory hatte Microsoft davor gewarnt, dass ein Angreifer sich auf dem kompromittierten System dieselben Rechte sichern könne, die für den angemeldeten Nutzer gelten. Darüber hinaus hatte der Hersteller spezielle Maßnahmen genannt, um die möglichen Auswirkungen der Schwachstelle zu minimieren.

Da der Patch aber neun weitere Sicherheitslücken behebt, adressiert er letztlich auch den Internet Explorer 8. Von diesen neun Sicherheitsupdates werden im Falle des Internet Explorer 6 gleich sechs als kritisch eingestuft und eins als wichtig. Eine dieser kritischen Schwachstellen wird im Falle des IE7 als unwichtig erachtet, die andere zumindest als wichtig.

Die wenigsten Updates (zwei kritische, ein wichtiges) entfallen auf den Internet Explorer 8. Dafür ist einzig die neueste Browser-Version von der Sicherheitslücke CVE-2010-0492 betroffen. Hinter der Kennung verbirgt sich eine Speicherverletzung bei der Verarbeitung von HTML-Objekten. Acht der insgesamt zehn Sicherheitslücken haben in irgendeiner Form mit Fehlern bei der Speicherallokation oder -freigabe zu tun.

Microsoft rät allen IE-Nutzern und Unternehmen, das Sicherheitsupdate möglichst umgehend einzuspielen. Ein Neustart der gepatchten Systeme ist zwingend erforderlich. Die Aktualisierung erfolgt über Windows Update oder Microsoft Update. Sofern die Auto-Update-Funktion des Betriebssystems aktiviert ist, wird der Patch selbstständig installiert. Um das größtmögliche Sicherheitsniveau zu erreichen empfiehlt Microsoft ein Browser-Upgrade auf den Internet Explorer 8.

(ID:2044186)