Microsoft patcht Lücke im Internet Explorer heute noch

Microsoft hat angekündigt, im Laufe des Tages eine als kritisch eingestufte Lücke im Internet Explorer zu schließen. Höchstwahrscheinlich handelt es sich dabei um die Ende Dezember bekannt gewordene Zero-Day-Lücke. Allerdings könnte es auch eine andere Schwachstelle sein, denn Microsoft geht in seiner Vorankündigung nicht auf die Details des Patches ein.

Die “Dezember-Lücke” betrifft nur Nutzer älterer Versionen des Internet Explorers, die sich vor allem in Firmen finden. Wer IE 9 oder IE 10 verwendet, ist in dem Fall auf der sicheren Seite.

Microsoft empfiehlt Anwendern auf alle Fälle, den Patch sofort einzuspielen, indem es ihn als “kritisch” einstuft. Der Einschätzung schließen sich Security-Experten wie Sophos-Mitarbeiter Paul Ducklin an. Seiner Ansicht nach sollte Patchen die höchste Priorität haben, selbst wenn die darauf zielenden Angriffe bereits von der installierten Sicherheitssoftware abgewehrt werden.

Ducklin hat zudem darauf hingewiesen, dass bereits mehrere Websites Malware verbreiteten, die die im Dezember entdeckte Sicherheitslücke mit einer geschickten Kombination aus HTML, JavaScript und Flash ausnutzen.

Microsoft hat für die Lücke zwar bereits Anfang Januar ein Fix-it-Tool bereitgestellt, aber das entsprach nicht den Erwartungen der Sicherheitsexperten. Und auch die Microsoft-Empfehlung, das Enhanced Mitigation Experience Toolkit (EMET http://support.microsoft.com/kb/2458544) zu verwenden, um sowohl bekannte als auch unbekannte Schwachstellen abzusichern, findet nicht die ungeteilte Zustimmung der Experten. Sophos-Mitarbeiter Ducklin zum Beispiel verweist auf Berichte, wonach Varianten des Exploits für die Dezember-Lücke auch dann funktionieren, wenn EMET genutzt wird.

 Loading ...