Im Microsoft-Browser Internet Explorer (IE) findet sich in allen Versionen eine gefährliche neue Schwachstelle. Außer der Reihe hat Microsoft dazu ein Advisory veröffentlicht, das bietet auch gleich einen temporären "Fix-it"-Workaround an. Alle IE-Versionen von 6 bis 11 betrifft die Zero-Day-Schwachstelle. Später soll ein vollständiger Patch nachgereicht werden.

Über Windows Update wird nicht automatisch der Workaround angeboten; Nutzer müssen ihn selbst manuell einspielen. Ein installiertes Security Update 2870699 (vom vergangenen Patch Tuesday am 10. September) ist Voraussetzung. Nur die 32-Bit-Versionen des IE wird von dem Fixit 51002 "repariert", der Browser muss nach der Installation neu gestartet werden.

Der Microsoft-Experte Dustin Childs empfiehlt in einem TechNet-Post darüber hinaus, die Sicherheitszonen für lokales Intranet und Internet auf "Hoch" zu setzen (um ActiveX-Controls und Active Scripting zu blockieren) oder respektive Active Scripting für lokales Intranet und Internet vor der Ausführung von Active Scripting komplett zu deaktivieren. Allerdings könne das die Usability beeinträchtigen; vertrauenswürdige Seiten lassen sich immerhin als Ausnahmen whitelisten.

Nach Angaben von Microsoft liegt die Schwachstelle in der Art und Weise begründet, wie der Internet Explorer auf ein im Arbeitsspeicher gelöschtes oder falsch allokiertes Objekt zugreift. Dabei könnte ein Angreifer über eine bösartig manipulierte Webseite eine Memory Corruption erzeugen und beliebigen externen Code mit den Rechten des Browser-Nutzers ausführen.

(hs, hannover)

(siehe auch Tecchannel News :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE