Noch ein kleiner Nachtrag von letzter Woche. Am Patchday, den 9. März 2021, hat Microsoft auch ein Sicherheitsupdate für den Internet Explorer 11 (sowie den Edge-Browser) freigegeben. Dieses soll die 0-day-Schwachstelle CVE-2021-26411 schließen. Ergänzung: Will Dorman meldet Zweifel an, dass die Schwachstelle geschlossen ist.
Anzeige
0-day-Schwachstelle CVE-2021-26411
Die Schwachstelle CVE-2021-26411 geht auf eine Speicherbeschädigungs-Schwachstelle (Memory Corruption Vulnerability) im Browser zurück, die sowohl den Internet Explorer als auch Chromium-Browser wie den Microsoft Chromium Edge betreffen. Microsoft hat den Aufwand zur Ausnutzung der Schwachstelle als niedrig, die Folgen aber als hoch eingestuft. Zudem sind Exploits für diese Schwachstelle in freier Wildbahn bekannt.
Die Schwachstelle ist meiner Einschätzung nach bereits seit längerem bekannt. Im Blog-Beitrag 0patch fixt 0-day im Internet Explorer hatte ich Anfang Februar 2021 berichtet, dass ACROS Security eine Micropatch für seinen 0patch-Agenten herausgebracht hat. Dieser schützte den Internet Explorer 11 vor der Ausnutzung dieser Sicherheitslücke und stand kostenfrei allen Windows-Nutzer, die den 0patch-Agenten einsetzen, zur Verfügung. Nachdem Microsoft nun einen offiziellen Fix freigegeben hat, bietet ACROS-Security den Micropatch nur noch in seinen kostenpflichtigen Pro-Versionen an. Das geht aus diesen Tweets hervor.
Microsoft hat eine Übersicht zur Schwachstelle CVE-2021-26411 auf dieser Webseite veröffentlicht. Dort werden die einzelnen Updates zum Schließen der Schwachstelle aufgelistet.
- Unter Windows 10 sind die Patches für den Microsoft Edge und den Internet Explorer 11 in den kumulativen Updates integriert (siehe Patchday: Windows 10-Updates (9. März 2021))
- In Windows 7 und Windows 8.1 ist dieser Patch in den Rollup-Updates integriert (siehe Links am Artikelende). Das Gleiche gilt für die Server-Pendants dieser Betriebssysteme.
- Bei den Security-only Updates für Windows 7 und Windows 8.1 sowie die Server-Pendants dieser Betriebssysteme ist das kumulative Sicherheitsupdate KB5000800 für den Internet Explorer 11 installiert separat zu installieren.
Das kumulative Sicherheitsupdate KB5000800 für den Internet Explorer 11 steht für folgende Betriebssysteme zur Verfügung:
- Internet Explorer 11 für Windows Server 2012 R2
- Internet Explorer 11 unter Windows 8.1
- Internet Explorer 11 unter Windows Server 2012
- Internet Explorer 11 für Windows Server 2008 R2 SP1
- Internet Explorer 11 für Windows 7 SP1
- Internet Explorer 9 unter Windows Server 2008 SP2
Das Update wird über Windows Update, den WSUS und im Microsoft Update Katalog bereitgestellt. Details zum Update finden sich im Supportbeitrag KB5000800.
Anzeige
Schwachstelle wirklich geschlossen?
Ergänzung: Der Sicherheitsforscher Will Dorman hat Zweifel daran, dass die Schwachstelle wirklich geschlossen ist. In diesem Tweet und einem Folgetweet drückt er das direkt aus und schreibt dass der Fix keinen Absturz verhindert.
Ähnliche Artikel:
Microsoft Office Patchday (2. März 2021)
Microsoft Security Update Summary (9. März 2021)
Patchday: Windows 10-Updates (9. März 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (9. März 2021)
Patchday: Windows 8.1/Server 2012-Updates (9. März 2021)
Patchday Microsoft Office Updates (9. März 2021)
Anzeige
…er wird jetzt schon auf einigen seiten als unsicher eingestuft
und deshalb nicht mehr akzeptiert…demzuf0lge ist der IE 11 trotz update nicht mehr einsetzbar für den "normalen" gebrauch -tschüss IE!!!
Quellen?
https://www.derstandard.de/story/2000097801064/microsoft-bittet-nutzer-internet-explorer-nicht-mehr-zu-verwenden
Und auch Guides für die Webgestaltung berücksichtigen nicht länger den IE 11 für die korrekte Darstellung und Funktion von Seiten – tatsächlich habe ich mir da auch nie einen Kopf drum gemacht. Wer meint mit inkompatiblen, nicht den Spezifikation entsprechenden Browsern unterwegs sein zu müssen, der muß auch mit fehlerhaften Darstellungen meiner Seiten leben. Extra-Behandlung gibt es nicht.
nicht zielführend und so falsch.
Es ist die Frage wie die sogenannte Unsicherheit eingestuft wird. Es ist nicht zielführend.
Der IE11 ist der Browser, der funktioniert. Es kommt immer auf den Nutzer und das sog. "Handling" an.
Ich habe hier schon genug und umfassen betont, dass eine zielgerichtete (!) Anwendung des IE11 wesentliche Vorteile bringt. Mit Umstellung auf Windows 10 bin ich glücklich, dass das was teilweise in Windows 7 nicht mehr so gut funktionierte, nun wieder funktioniert.
Jene die kein IE11 nutzen sollten nicht mit Unwissenheit argumentieren. Es kommt darauf an wie jeder die Browser nutzt.
Hier läßt sich ein weiteres Update für den Microsoft Edge finden, welches letzte Nacht erschien.
https://www.microsoft.com/de-de/edge/business/download
Moin Herr Born,
thx für die Infos! KB5000800 hatte ich doch glatt übersehen. Nicht das ich den IE 11 einsetze, aber bezüglich der Security Updates sollte er sich dann doch auf dem neuesten Stand befinden.
Verständnisfrage: Lässt sich KB5000800 denn auf Systemen ohne ESU installieren? Wenn nicht und O'Patch seinen diesbezüglichen Fix aus dem Kostenlos-Angebot rausnimmt, dann stünden dessen Anwender ja nun im Regen.
hier kommt es bei server 2012 r2 x64 deutsch nicht das kb5000800
nur das kb5000848 kam im maerz 2021
was ist da los? ist das ein spezialupdate irgendwie? normal default ueber windowsupdates (sconfig, 6, all updates) sichtbar?
hat das evtl mit noch fehlenden aktivierungen des server 2012 r2 frisch aufgesetzt zu tun?
gibts manche updates erst bei vollzogener aktivierung? andere updates kommen jedenfalls durch, april 2021 updates usw.