Microsoft beseitigt mit Notfall-Patch kritische Schwachstelle in Internet Explorer

BrowserWorkspace
ie10-logo (Bild: Microsoft)

Konkret befindet sich ein Speicherfehler in den Internet-Explorer-Versionen 7, 8, 9, 10 und 11. Angreifer nutzen ihn schon für zielgerichtete Attacken aus. Nicht davon betroffen ist Microsofts neuer Browser Edge.

Microsoft hat einen außerplanmäßigen Patch für seinen Browser Internet Explorer freigegeben. Er schließt eine als kritisch bewertete Sicherheitslücke. Dadurch könnte ein Hacker Schadcode einschleusen und mit den Rechten des angemeldeten Anwenders ausführen. Sein Opfer muss er dafür nur auf eine speziell präparierte Website locken. Der Google-Sicherheitsforscher Clement Lecigne hat den Fehler entdeckt.

Die Schwachstelle findet sich in den Internet-Explorer-Versionen 7, 8, 9, 10 und 11. Das Update sollte somit für Windows Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows 10 eingespielt werden. Im Gegensatz dazu ist Microsofts neuer Browser Edge allerdings nicht davon betroffen.

Laut der Sicherheitsmeldung greift Internet Explorer nicht korrekt auf Objekte im Speicher zu. Demnach lässt sich die Anfälligkeit nicht nur mit manipulierten Websites, sondern auch mit speziell präparierten Werbeanzeigen oder von Anwendern erstellten Inhalten ausnutzen. Ein Angreifer müsse ein Opfer jedoch erst dazu verleiten, etwa auf einen Link in einer E-Mail oder einer Direktnachricht zu klicken oder einen per E-Mail verschickten Dateianhang zu öffnen.

“Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über ein betroffenes System erlangen”, schreibt Microsoft. “Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Systeme, auf denen Internet Explorer häufig genutzt wird, besteht daher das größte Risiko.”

Dem Sicherheitsanbieter Trend Micro zufolge wird die Lücke auch schon für zielgerichtete Angriffe ausgenutzt. Das Unternehmen empfiehlt allen Nutzern, das Update schnellstmöglich herunterzuladen und zu installieren. Da MS15-093 kein kumulativer Patch sei, müsse zunächst das am regulären August-Patchday bereitgestellte kumulative Update eingespielt werden.

Eigentlich sind Notfall-Updates eine seltene Ausnahme bei Microsoft. Im Juli hatte der Konzern aus Redmond allerdings ebenfalls schon wenige Tage nach seinem Patchday einen außerplanmäßigen Patch veröffentlicht. Es stopfte ein Leck, das in den Unterlagen beschrieben wird, die dem italienischen Spähsoftwareentwickler Hacking Team entwendet wurden. Allerdings wurde die Lücke zu dem Zeitpunkt noch nicht ausgenutzt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen