Microsoft Internet Explorer: Notfall-Patch schließt kritisch eingestufte Schwachstelle

Hacker nutzen einen Speicherfehler, der in Microsofts Internet Explorer 7, 8, 9, 10 und 11 steckt , bereits für zielgerichtete Angriffe aus. Die Schwachstelle ermöglicht einem Angreifer Schadcode einzuschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Microsofts neuer Browser Edge ist nicht betroffen.

Das Update, das Microsoft jetzt außerplanmäßig für seinen Browser Internet Explorer veröffentlicht hat, beseitigt eine als kritisch eingestufte Sicherheitslücke. Die Anfälligkeit steckt in Internet Explorer 7, 8, 9, 10 und 11. Der Patch steht damit für Windows Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows 10 zur Verfügung. Microsofts neuer Browser Edge ist jedoch nicht betroffen.

Internet Explorer (Logo: Microsoft).

Internet Explorer (Logo: Microsoft).

Entdeckt wurde der Fehler vom Google-Sicherheitsforscher Clement Lecigne. Die Schwachstelle ermöglicht einem Angreifer Schadcode einzuschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Er muss sein Opfer dafür dafür auf eine speziell gestaltete Website locken.

Internet Explorer greift der Sicherheitsmeldung zufolge nicht richtig auf Objekte im Speicher zu. Die Anfälligkeit lässt sich demnach nicht nur mit manipulierten Websites, sondern auch mit präparierten Werbeanzeigen oder von Nutzern erstellten Inhalten ausnutzen. Ein Angreifer müsse ein Opfer allerdings dazu verleiten, beispielsweise auf einen Link in einer E-Mail oder einer Direktnachricht zu klicken oder einen per E-Mail verschickten Dateianhang zu öffnen.

Microsoft schreibt dazu: „Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Systeme, auf denen Internet Explorer häufig genutzt wird, besteht daher das größte Risiko.“

Die Schwachstelle wird laut Trend Micro bereits für zielgerichtete Angriffe eingesetzt. Es rät allen Anwendern, den Patch schnellstmöglich herunterzuladen und zu installieren. Da MS15-093 kein kumulatives Update sei, müsse zuerst der am regulären August-Patchday bereitgestellte kumulative Patch eingespielt werden.

Bei Microsoft sind Notfall-Updates eigentlich eine seltene Ausnahme. Im Juli hatte der Softwarekonzern allerdings auch wenige Tage nach seinem Patchday ein außerplanmäßiges Update herausgebracht. Es stopfte ein Loch, das in den Unterlagen beschrieben wird, die dem italienischen Spähsoftwareentwickler Hacking Team gestohlen wurden. Die Lücke wurde zu dem Zeitpunkt aber noch nicht aktiv ausgenutzt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Microsoft Internet Explorer: Notfall-Patch schließt kritisch eingestufte Schwachstelle

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *