Größer als zunächst angenommen ist das Ausmaß der berichteten 0-Day-Lücke im Internet Explorer. Sie betrifft unter allen Windows-Versionen den Internet Explorer 6 bis 9, wie Microsoft in der Nacht von Montag auf Dienstag in einem Security Advisory bekanntgegeben hat. Es handelt sich laut dem Unternehmen um eine Use-after-free-Lücke, also einen Fehler, der beim Zugriff auf ein bereits gelöschtes oder nicht korrekt initialisiertes Speicherobjekt auftritt.

Der IE-Hersteller hat indes einen Patch für die Lücke nicht so schnell parat. In dem Advisory listet er stattdessen eine Reihe von Workarounds auf, von denen die Installation der Exploit-Bremse EMET noch am praxistauglichsten ist. Indem die Sicherheit der Internet- und Intranet-Zone auf "Hoch" gesetzt werden, lassen sich alternativ ActiveX und Active Scripting komplett ausschalten.

Ebenfalls warnt das Bundesamt für Sicherheit für Informationstechnik (BSI) vor der IE-Lücke und empfiehlt als Workaround eine Option, die Microsoft nicht erwähnt hat: einen alternativen Browsers nutzen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE