Sicherheitslücke im Internet Explorer (Update verfügbar)

Niernen · 18. September 2012

Mittlerweile ist ein Sicherheits-Update verfügbar und kann über Windows Update installiert werden. Windows wird es zudem automatisch beim Herunterfahren installieren, wenn die automatische Suche aktiviert ist.
Mit dem Update wird nicht nur die besagte Sicherheitslücke geschlossen, sondern zusätzlich noch einige Weitere.

Zitat von Bundesamt für Sicherheit in der Informationstechnik (BSI)

Kritische Zero-Day-Schwachstelle im Internet Explorer

Mit breitflächiger Ausnutzung ist zu rechnen / BSI empfiehlt temporär Nutzung eines alternativen Browsers
Bonn, 17.09.2012.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin. Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar. Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat. Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung. Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.

Alles anzeigen

Was ist ein Zero-Day-Exploit?
Im Prinzip ist ein Exploit ein Programm oder eine Abfolge von Befehlen, wodurch ein Angreifer eine Sicherheitslücke oder Fehlfunktion eines Programmes benutzen kann, um das System zu manipulieren.
Oft wird ein Exploit auch nur dokumentiert, damit der Softwarehersteller die Sicherheitslücke oder die Fehlfunktion beheben kann. Wenn aber Angreifer vor dem Softwarehersteller eine Sicherheitslücke finden und diese ausnutzen, spricht man von einem Zero-Day-Exploit.

Was bedeutet dies für betroffene Nutzer des Internet Explorer?
Wenn man kaum im Internet unterwegs ist und nur wenige Seiten aufruft, ist die Gefahr, auf eine präparierte Seite zu gelangen, recht gering.
Ist man aber viel im Internet unterwegs und besucht dabei eine Vielzahl von Seiten, besonders wenn man nicht darauf achtet, welche Seiten man aufruft, ist die Gefahr, auf einer solchen präparierten Seite zu landen, ob freiwillig oder nicht, schon höher.
Zwingend ist der Umstieg auf einen anderen Browser nicht, wird aber u.a. vom BSI (s.o.), zumindest vorübergehend, empfohlen.

Welche Browser wären zu empfehlen?
Grundsätzlich alle anderen gängigen Browser. Zu diesen gehören:

Mozilla Firefox (32-bit), Waterfox (64-bit)
Google Chrome
Apple Safari
Opera

Bis auf Waterfox sind alle genannten Browser multi-lingual.

Ist bereits ein Sicherheitsupdate verfügbar?
Nein, aber Microsoft arbeitet bereits daran und es sollte auch nicht mehr allzu lange dauern.
Ich werde weitere Informationen dazu editieren, sobald das Sicherheitsupdate fertig und verfügbar ist.

Mittlerweile ist ein Sicherheits-Update verfügbar und kann über Windows Update installiert werden. Windows wird es zudem automatisch beim Herunterfahren installieren, wenn die automatische Suche aktiviert ist.
Mit dem Update wird nicht nur die besagte Sicherheitslücke geschlossen, sondern zusätzlich noch einige Weitere.

Update (20.09.2012)

Zitat von Bundesamt für Sicherheit in der Informationstechnik (BSI)

Update: Sicherheitsupdate für Schwachstelle im Internet Explorer angekündigt

Microsoft stellt Fixit Tool als temporäre Gegenmaßnahme bereit und kündigt Patch für Freitagabend an

20.09.2012.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17. September 2012 in einer Pressemeldung Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hingewiesen. Für Nutzer des von der Sicherheitslücke betroffenen Internet Explorers in den Versionen 6,7,8 und 9 stellt Microsoft ein Fixit Tool als temporäre Gegenmaßnahme zum Download zur Verfügung. Damit wird die Schwachstelle zwar nicht geschlossen, kann aber dazu beitragen, die Ausnutzung der Schwachstelle zu erschweren.

Microsoft hat angekündigt, am Freitagabend, den 21. September 2012, ein Sicherheitsupdate bereit zu stellen, das die Sicherheitslücke schließt. Das BSI empfiehlt Anwendern des Internet Explorers, sowohl das Fixit Tool als auch das für morgen angekündigte Sicherheitsupdate zu installieren.

Alles anzeigen

Lithilion · 18. September 2012

Hahahaha...
Aber ehrlich, wundert mich nicht. Microsoft hat schon so viele Design-Sicherheitslücken in Windoof drinnen. Dass es beim IE auch mal eine richtig große geben wird war nur eine Frage der Zeit. Und ganz ehrlich. Wer ist noch so doof und benutzt den IE freiwillig...

Exitus · 19. September 2012

es geht hier nicht unbedingt darum ob wer doof ist oder nicht, viele können oder wollen sich einfach nicht mit dem FF anfreunden und auseinandersetzen bzw. wissen einfach nicht welche komponenten den FF sicherer machen und bleiben dann wohl bei dem was sie per Windows Installation vorgesetzt bekommen, nämlich den IE!

Lithilion · 19. September 2012

Man muss ja auch nicht gleich den FF und alle seine Addons nehmen. Bleib bei Chrome oder Safari. Sind beide sicher und recht einfach.

Niernen · 19. September 2012

Das Problem ist, dass viele Leute ohne Computer und so aufgewachsen sind und sich im Beruf auch nicht damit auseinandersetzen und häufig nicht einmal wissen, was ein Browser ist. Für diese ist der Internet Explorer im Prinzip "Internet". Auch sind diese Personen häufig unsicher mit Programmen, die sie selber installieren müssen, oder im Umgang mit Programmen. So kommt es, dass sie nur das nutzen, was bereits installiert ist, was bei Windows natürlich der IE ist.
Und jemanden, der für sie, wenn sie sich überhaupt helfen lassen wollen, alle Programme installiert und sie dann noch in diese einweist, gibt es auch nicht immer.

Philator · 19. September 2012

Haha, soviel zum Thema "Sicheres surfen" in der Internet-Explorer Werbung, die einem sowieso zuviel verspricht. Ich habe nie auch nur daran gedacht ihn zu benutzen, und das hat sich damit wiedermal als richtig herausgestellt
Chrome ist sicherer, deutlich schneller, einfacher und bietet trotzdem viele Möglichkeiten an Add-Ons usw.

Nui · 19. September 2012

Der Internet Explorer hat anscheinend immer irgendwelche großen Sicherheitslücken...
Naja, die hat wohl jeder aber beim I.E. gibts wohl echt Probleme
Weiß nicht, wieso die es nicht so richtig hinkriegen
Ich würd sowieso raten, einen anderen Browser wie Firefox oder Chrome zu verwenden :)

Niernen · 19. September 2012

Zitat von Kyouki

Weiß nicht, wieso die es nicht so richtig hinkriegen

Meiner Meinung nach liegt das daran, dass Browser wie Firefox eine größere "Community" haben, welche Fehler umgehend melden. Bei dem IE ist es da anders, weswegen das Fehlerfinden erschwert wird.
Aber sicherlich gibt es da auch noch andere Gründe^^

Tech. · 21. September 2012

Ich benutze ihn sowiso nicht, aber das Udate, welches jetzt draußen ist hab ich trotzdem gemacht....

Niernen · 21. September 2012

Wie Tech schon angesprochen hat, dass Update ist draußen.
Um es zu installieren, müsst ihr einfach nur Windows Update ausführen. Das Update wird auch automatisch angezeigt, wenn Windows, sofern aktiviert, selber nach Updates gesucht hat.

Degupik · 21. September 2012

Zitat von Kyouki

Der Internet Explorer hat anscheinend immer irgendwelche großen Sicherheitslücken...
Naja, die hat wohl jeder aber beim I.E. gibts wohl echt Probleme
Weiß nicht, wieso die es nicht so richtig hinkriegen
Ich würd sowieso raten, einen anderen Browser wie Firefox oder Chrome zu verwenden

Was man bei diesem Thema beachten sollte ist der Umstand, dass der IE ein Browser ist, der massiv mit dem Betriebssystem verbunden ist. Wenn man Links in irgendwelchen Programmen anklickt, dann wird meistens der IE geöffnet.
Diese Verbundenheit ist daher auch ein lohnendes Angriffsziel. Außerdem setzen ihn Unternehmen ein, die spezielle Programme einsetzen, die nur mit dem IE reibungslos funktionieren. Ich arbeite selbst in so einer Firma, da ist nicht "Ich nehm halt in Zukunkt FF!". Das sind die Gründe, warum IE so unter Beschuss ist. Wenn Unternehmen komplett auf Firefox umsteigen würden, dann würden auch dort Lücken entdeckt werden. Kann mich noch gut an die Zeit erinnern, als Firefox so bei 1.x stand. Kaum Verbreitung und wie eine Festung, was die Sicherheit anging. Kaum kam der größere Marktanteil kamen auch die Lücken.

Ich setze auch nicht den IE ein. Ich nutze Firefox, bin aber am Überlegen, ob ich auf Chrome umsteige. Aber momentan ist kein Bedarf^^ Opera ist auch so eine Alternative, die ich auch unverzüglich nutzen würde, wenn manche Websites ihre Browserweichen rausmachen würden.

**TimWolla** · 22. September 2012

Zitat von Ratchet

Hahahaha...
Aber ehrlich, wundert mich nicht. Microsoft hat schon so viele Design-Sicherheitslücken in Windoof drinnen. Dass es beim IE auch mal eine richtig große geben wird war nur eine Frage der Zeit. Und ganz ehrlich. Wer ist noch so doof und benutzt den IE freiwillig...

Könnt ihr bitte sachlich bleiben und irgendwelche unhaltbaren und falschen Anschuldigungen, gegenüber Windows oder den Internet Explorer unterlassen. Nur weil ihr da mal irgendetwas gehört habt entspricht es nicht unbedingt der Wahrheit.

Da das ganze hier wohl auch keinen Diskussionsbedarf bietet und sowieso nur in einer Glaubensdiskussion ausartet, mache ich hier zu und kann nur jedem ausdrücklich empfehlen die entsprechenden Updates durchlaufen zu lassen. Ganz gleich ob ihr den IE verwendet oder nicht.