Am 26. April 2014 hat Microsoft das Security Advisory 2963983 veröffentlicht, welches vor eine kritischen Sicherheitslücke im Internet Explorer warnt, die eine Remote Codeausführung ermöglicht. Problem: Auch Windows XP-Nutzer sind bei Verwendung des IE betroffen – und da wird es kein Sicherheits-Update mehr geben.
Anzeige
Die Sicherheitslücke betrifft die Browserversionen Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, und Internet Explorer 11. Damit sind also auch praktisch alle aktuell unterstützten Windows-Betriebssysteme betroffen.
Microsoft beschreibt im Security Advisory Gegenmaßnahmen, damit die Sicherheitslücke nicht per Exploit ausnutzbar ist. Der geschützte Modus des Internet Explorer birgt z.B. einen gewissen Schutz vor der Sicherheitslücke, da sie die Ausführung von Code mit erhöhten Rechten im Sicherheitskontext des Browsers verhindert. Weiterhin finden sich in diesem heutigen heise.de-Artikel noch zwei weitere (auf dem MS Advisory basierende) Tipps, die erweiterten Optionen 64-Bit-Prozesse für erweiterten geschützten Modus aktivieren und Erweiterten geschützten Modus aktivieren zu aktivieren.
Aufgedeckt wurde der Zero-Day Exploit von den Sicherheitsforschern der Firma FireEye, die das Problem hier beschreiben. Ein Exploit verwendet dort Flash, um die Lücke auszunutzen. Bei deaktiviertem Flash soll das Exploit nicht mehr funktionieren. Microsoft untersucht die Sache und wird zu gegebener Zeit für die unterstützten Betriebssysteme einen Patch veröffentlichen.
MVP-Kollege Martin Geuß weist hier bei Dr. Windows darauf hin, dass es auch die Benutzer von Windows XP trifft, die mit dem Internet Explorer unterwegs sind. Dieses Betriebssystem wird aber kein Sicherheits-Update mehr bekommen, so dass sich die Verwendung eines aktuellen alternativen Browsers empfiehlt.
Anzeige
Anzeige
Nachtrag: MVP-Kollege Martin hat hier noch einen Artikel zum Thema mit dem Hinweis, dass die Lücke ggf. außer der Reihe gepatcht wird, veröffentlicht. Aber wie im obigen Beitrag bereits erwähnt – ohne Flash läuft ein Exploit ins Leere – und unter Windows 8 aufwärts, hat es eine Flash-Aktualisierung gegeben.
Microsoft hat den Internet Explorer Patch sogar für Windows XP für Internet Explorer 6, 7 & 8 herausgebracht. Scheinbar war der Druck doch zu groß. Windows XP ist immer noch stark verbreitet. Leider!!!!