Microsoft untersucht kritische Lücke im Internet Explorer

Microsoft untersucht derzeit eine kritische Sicherheitslücke in seinem Internet Explorer. Die Schwachstelle findet sich nur in älteren Browser-Versionen, erlaubt das Ausführen von schädlichem Code und wird bereits ausgenutzt.

IE 6, IE 7 und IE 8 betroffen

Wie die Redmonder im entsprechenden Sicherheitshinweis 2794220 ausführen, wurden bereits zielgerichtete Angriffe festgestellt, die sich der Lücke im Internet Explorer 8 bedienen. Darüber hinaus sind der IE 6 und der IE 7 von dem Problem betroffen. Die Lücke tritt in Zusammenhang mit dem Speicherzugriff des Browsers auf, wenn dieser auf ein bereits gelöschtes oder nicht korrekt zugeordnetes Objekt zugreifen möchte. Dadurch können speziell präparierte Websites beim Besuch mit den betroffenen IE-Versionen zur Gefahr werden. Nicht von der Sicherheitslücke betroffen sind die neueren Browser-Versionen Internet Explorer 9 und 10.

Ein Update hat Microsoft noch nicht veröffentlicht, will es aber eventuell auch außer der Reihe nachschieben. Das heißt, außerhalb des regulären Patchday, an dem allmonatlich verschiedene Microsoft-Programme aktualisiert werden. Gemäß des üblichen Turnus, steht der Januar-Patchday am Dienstag, 8. Januar an. Ein Fix-it ist nicht geplant.

Update auf neuen Browser empfohlen

Microsoft rät Nutzern der älteren IE-Ausgaben dringend zu einem Update auf eine der aktuellen Fassungen ab Version 9. Falls das nicht möglich ist, empfiehlt das Unternehmen in einem Eintrag im Chief Security Advisor Blog JavaScript, Flash und den Protokoll-Handler für ms-help sowie Java 6 zu deaktivieren. Zudem werden alternativ eine Installation des Enhanced Mitigation Experience Toolkit (EMET) oder eine Herabstufung der Benutzerrechte, das Betreiben des IE im abgesicherten Modus und Deaktivieren von Script- und ActiveX-Elementen für das Öffnen von HTML-Dokumenten als limitierende Faktoren genannt.

(Saskia Brintrup)