IE-Patch kommt noch heute

Die heikler werdende Bedrohungslage und der wachsende öffentliche Druck haben Microsoft dazu veranlasst, den geheiligten monatlichen Patch-Zyklus zu durchbrechen (Computerworld.ch berichtete). Heute Abend gegen 19 Uhr will Microsoft deshalb ein Sicherheits-Update für den Internet Explorer bereit stellen, um die jüngste kritische Lücke zu schliessen.

In den IE-Versionen 6, 7 und 8 steckt eine Schwachstelle, die ausgenutzt werden kann, um beliebigen Code einzuschleusen und auszuführen. Dies ist bereit im Dezember 2009 bei gezielten Angriffen auf etliche Unternehmen geschehen. Der dabei verwendete Exploit-Code ist in der letzten Woche veröffentlicht worden. Er funktioniert allerdings nur beim IE 6 unter Windows XP.

Doch verschiedene Sicherheitsforscher haben inzwischen gezeigt, dass es mit Weiterentwicklungen dieses Codes auch möglich ist, den IE 7 und angeblich sogar den IE 8 anzugreifen. Selbst die von Microsoft empfohlene Aktivierung der Data Execution Prevention (DEP) soll dann angeblich nicht mehr helfen. Diese ist beim IE 8 ab Windows XP SP3 standardmässig aktiviert.

Dennoch sollten insbesondere Anwender und Unternehmen, die noch mit dem Internet Explorer 6 im Web unterwegs sind, das Sicherheits-Update umgehend installieren. Es soll sich nach Angaben von Jerry Bryant im Blog des Microsoft Security Response Center um ein übliches kumulatives Sicherheits-Update handeln. Das heisst, es enthält alle bisherigen Aktualisierungen und hat die umfangreichen Tests der Qualitätssicherung erfolgreich absolviert.