Mit dem Update wird nicht nur die besagte Sicherheitslücke geschlossen, sondern zusätzlich noch einige Weitere.
Alles anzeigenKritische Zero-Day-Schwachstelle im Internet Explorer
Mit breitflächiger Ausnutzung ist zu rechnen / BSI empfiehlt temporär Nutzung eines alternativen Browsers
Bonn, 17.09.2012.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin. Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.
Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar. Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat. Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung. Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.
Was ist ein Zero-Day-Exploit?
Im Prinzip ist ein Exploit ein Programm oder eine Abfolge von Befehlen, wodurch ein Angreifer eine Sicherheitslücke oder Fehlfunktion eines Programmes benutzen kann, um das System zu manipulieren.
Oft wird ein Exploit auch nur dokumentiert, damit der Softwarehersteller die Sicherheitslücke oder die Fehlfunktion beheben kann. Wenn aber Angreifer vor dem Softwarehersteller eine Sicherheitslücke finden und diese ausnutzen, spricht man von einem Zero-Day-Exploit.
Was bedeutet dies für betroffene Nutzer des Internet Explorer?
Wenn man kaum im Internet unterwegs ist und nur wenige Seiten aufruft, ist die Gefahr, auf eine präparierte Seite zu gelangen, recht gering.
Ist man aber viel im Internet unterwegs und besucht dabei eine Vielzahl von Seiten, besonders wenn man nicht darauf achtet, welche Seiten man aufruft, ist die Gefahr, auf einer solchen präparierten Seite zu landen, ob freiwillig oder nicht, schon höher.
Zwingend ist der Umstieg auf einen anderen Browser nicht, wird aber u.a. vom BSI (s.o.), zumindest vorübergehend, empfohlen.
Welche Browser wären zu empfehlen?
Grundsätzlich alle anderen gängigen Browser. Zu diesen gehören:
- Mozilla Firefox (32-bit), Waterfox (64-bit)
- Google Chrome
- Apple Safari
- Opera
Bis auf Waterfox sind alle genannten Browser multi-lingual.
Ist bereits ein Sicherheitsupdate verfügbar?Nein, aber Microsoft arbeitet bereits daran und es sollte auch nicht mehr allzu lange dauern.
Ich werde weitere Informationen dazu editieren, sobald das Sicherheitsupdate fertig und verfügbar ist.
Mittlerweile ist ein Sicherheits-Update verfügbar und kann über Windows Update installiert werden. Windows wird es zudem automatisch beim Herunterfahren installieren, wenn die automatische Suche aktiviert ist.
Mit dem Update wird nicht nur die besagte Sicherheitslücke geschlossen, sondern zusätzlich noch einige Weitere.
Update (20.09.2012)
Alles anzeigenUpdate: Sicherheitsupdate für Schwachstelle im Internet Explorer angekündigt
Microsoft stellt Fixit Tool als temporäre Gegenmaßnahme bereit und kündigt Patch für Freitagabend an
20.09.2012.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17. September 2012 in einer Pressemeldung Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hingewiesen. Für Nutzer des von der Sicherheitslücke betroffenen Internet Explorers in den Versionen 6,7,8 und 9 stellt Microsoft ein Fixit Tool als temporäre Gegenmaßnahme zum Download zur Verfügung. Damit wird die Schwachstelle zwar nicht geschlossen, kann aber dazu beitragen, die Ausnutzung der Schwachstelle zu erschweren.
Microsoft hat angekündigt, am Freitagabend, den 21. September 2012, ein Sicherheitsupdate bereit zu stellen, das die Sicherheitslücke schließt. Das BSI empfiehlt Anwendern des Internet Explorers, sowohl das Fixit Tool als auch das für morgen angekündigte Sicherheitsupdate zu installieren.