Eine neue Sicherheitslücke im Internet Explorer kann dazu ausgenutzt werden, über präparierte Webseiten Schadcode auf dem Rechner des Nutzers auszuführen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte vor einer Sicherheitslücke im Internet Explorer gewarnt, die sich nun laut Microsoft als noch größer herausstellt, als ursprünglich gedacht. Sie betrifft tatsächlich alle Versionen des Internet Explorers ab dem IE 6 unter allen Windowsversionen. Einzige Ausnahme ist der Internet Explorer 10 unter Windows 8 , das aber allgemein noch nicht erhältlich ist.
Die Lücke kann durch eine präparierte Webseite ausgenutzt und so Schadcode mit den Rechten des Nutzers auf dem Rechner ausgeführt werden. Da der dafür nötige Code in einschlägigen Kreisen im Web bereits verbreitet und genutzt wird, ist diese Lücke als sehr gefährlich anzusehen.
Microsoft empfiehlt einige Workarounds wie das Deaktivieren von Active Scripting und ActiveX oder das Nachfragen bei Ausführung von Skripten, doch dadurch wird der Browser auf vielen Webseiten entweder unbrauchbar oder nervt den Nutzer mit ständigen Nachfragen. Das BSI rät daher dazu, einfach einen anderen Browser zu verwenden, bis es ein entsprechendes Update gibt. Wann das der Fall sein wird, ist bislang unbekannt.
Update:
Microsoft hat ein sogenanntes »Fix it« für die Sicherheitslücke im Internet Explorer veröffentlicht, der verhindert, dass Angriffe Schaden anrichten können. Allerdings ist dies noch kein Update des Browsers, sondern nur eine vorübergehende Lösung.
Wie der Chief Security Advisor Michael Kranawetter in seinem Blog schreibt, wird Microsoft aber noch am heutigen Abend gegen 19 Uhr ein Update veröffentlichen, dass nicht nur die neue, sondern auch andere Sicherheitslücken im Internet Explorer behebt. Es wird wie üblich per Microsoft Update angeboten und bei entsprechender Systemeinstellung auch automatisch installiert.
Laut Kranawetter sind bislang aber kaum Angriffe bekannt, die die neue Schwachstelle ausnutzen. Trotzdem schätzt man die Möglichkeit großflächiger Angriffe so hoch ein, dass man sich entschieden hat, zunächst das Fix it und dann ein Update zu veröffentlichen.
Download des Fix
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte vor einer Sicherheitslücke im Internet Explorer gewarnt, die sich nun laut Microsoft als noch größer herausstellt, als ursprünglich gedacht. Sie betrifft tatsächlich alle Versionen des Internet Explorers ab dem IE 6 unter allen Windowsversionen. Einzige Ausnahme ist der Internet Explorer 10 unter Windows 8 , das aber allgemein noch nicht erhältlich ist.
Die Lücke kann durch eine präparierte Webseite ausgenutzt und so Schadcode mit den Rechten des Nutzers auf dem Rechner ausgeführt werden. Da der dafür nötige Code in einschlägigen Kreisen im Web bereits verbreitet und genutzt wird, ist diese Lücke als sehr gefährlich anzusehen.
Microsoft empfiehlt einige Workarounds wie das Deaktivieren von Active Scripting und ActiveX oder das Nachfragen bei Ausführung von Skripten, doch dadurch wird der Browser auf vielen Webseiten entweder unbrauchbar oder nervt den Nutzer mit ständigen Nachfragen. Das BSI rät daher dazu, einfach einen anderen Browser zu verwenden, bis es ein entsprechendes Update gibt. Wann das der Fall sein wird, ist bislang unbekannt.
Update:
Microsoft hat ein sogenanntes »Fix it« für die Sicherheitslücke im Internet Explorer veröffentlicht, der verhindert, dass Angriffe Schaden anrichten können. Allerdings ist dies noch kein Update des Browsers, sondern nur eine vorübergehende Lösung.
Wie der Chief Security Advisor Michael Kranawetter in seinem Blog schreibt, wird Microsoft aber noch am heutigen Abend gegen 19 Uhr ein Update veröffentlichen, dass nicht nur die neue, sondern auch andere Sicherheitslücken im Internet Explorer behebt. Es wird wie üblich per Microsoft Update angeboten und bei entsprechender Systemeinstellung auch automatisch installiert.
Laut Kranawetter sind bislang aber kaum Angriffe bekannt, die die neue Schwachstelle ausnutzen. Trotzdem schätzt man die Möglichkeit großflächiger Angriffe so hoch ein, dass man sich entschieden hat, zunächst das Fix it und dann ein Update zu veröffentlichen.
Download des Fix