Microsoft verspricht schnellen Patch für kritisches Leck im Internet Explorer

BrowserSicherheitSicherheitsmanagementSoftwareWorkspace

Mit “nur” einem Fix-it-Tool will MS schon in den nächsten Tagen vollständigen Schutz vor einem Angriff auf die Zero-Day-Lücke bieten. So kann der Software-Riese in Ruhe ein “richtiges” Bugfix vorbereiten.

Microsoft will die seit dem Wochenende bekannte Zero-Day-Lücke in Internet Explorer schon in den nächsten Tagen schließen. Allerdings wird der Softwarekonzern anfänglich kein Sicherheitsupdate, sondern nur ein sogenanntes Fix-it-Tool bereitstellen. Es soll Nutzer des Microsoft-Browsers genauso gut schützen wie ein vollwertiger Patch.

Die Zero-Day-Lücke (also eine, zu der es noch keine Patches gibt), war ursprünglich nur für ältere IE-Versionen unter Windows XP enteckt worden, bis schließlich mehrere Security-Unternehmen anmerkten, dass auch neuere Browser davon betroffen sein könnten und sogar das BSI vor dem Microsoft-Browser warnte.

Die Schwachstelle lässt sich auch mit Internet Explorer 9 unter Windows 7 ausnutzen (Bild: Rapid7)

“Obwohl wir nur wenige Versuche beobachtet haben, den Fehler auszunutzen, wovon nur eine sehr begrenzte Zahl von Nutzern betroffen ist, leiten wir diese proaktive Maßnahme ein”, schreibt Yunsun Wee, Direktor für Trustworthy Computing bei Microsoft, in einem Blogeintrag. Ziel sei, sicherzustellen, dass Kunden geschützt seien und das Internet gefahrlos nutzen könnten.

Bei dem Fix handele es sich um eine mit einem Klick anzuwendende einfache Lösung, die von jedem IE-Nutzer installiert werden könne, ergänzte der Manager. Sie biete vollständigen Schutz vor Angriffen auf die Zero-Day-Lücke, bis ein Update zur Verfügung stehe. Das Fix-it-Tool habe keinen Einfluss auf die Nutzung von Websites und erfordere auch keinen Neustart.

In seinem ursprünglichen Advisory verweist Microsoft auf das Enhanced Mitigation Experience Toolkit, das vor den Folgen eines Exploits schützen soll. Es schließt die Lücke zwar nicht, schafft aber zusätzliche Hürden, die Angreifer überwinden müssen, um Schadcode auf ein System einschleusen zu können. Andere vorgeschlagene Maßnahmen wie die Deaktivierung von ActiveX Controls und Active Scirpting können zu Problemen bei der Darstellung von Websites führen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das von der Sicherheitslücke ausgehende Risiko offenbar höher ein als Microsoft. Da der zugehörige Angriffscode frei im Internet verfügbar sei, sei auch mit einer “breitflächigen Ausnutzung rasch zu rechnen”, teilte die Behörde mit. Sie empfiehlt, vorübergehend alternative Browser wie Mozilla Firefox, Google Chrome oder Opera zu verwenden.

[mit Material von Steven Musil, News.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.