Sicherheitslücke im Internet Explorer 6 und 7 - Microsoft-Patch erscheint heute

Update vom 30.03.2010: Sicherheitspatch noch heute
Seit Anfang März wird eine Sicherheitslücke im Microsofts Internet Explorer für Angriffe ausgenutzt. Betroffen sind die Versionen 6 und 7 des Windows Browsers. Nun wird Microsoft einen Sicherheitspatch bereit stellen, der noch heute Abend veröffentlicht werden soll. Ursprünglich war geplant, die Sicherheitslücke im Rahmen des nächsten Patch-Days am 13. April 2010 zu schließen. Auf Grund der Gefahr hat Microsoft sich entschieden, das Leck früher zu beseitigen. Der Sammelpatch soll insgesamt zehn Sicherheitslöcher, unter anderem auch für den Internet Explorer 8, beheben.

Update vom 15.03.2010: Vorläufige Hilfe gefunden
Fix it: Microsoft bietet seit Kurzem ein temporäre Lösung für das Sicherheitsproblem an. Auf Systemen mit Windows XP und Server 2003 deaktiviert dieser Fix die Peer-Factory-Class in der Datein "ipeers.dll" und schließt so das Sicherheitsloch. Nebenwirkungen wie eine geblockte Druck-Funktion oder nicht funktionierende Web-Ordner lassen sich bisher nicht vermeiden.

Für Vista und Co. gibt es solch einen "Schalter" nicht, weshalb hier nur der geschützte Modus des Internet Explorers bleibt, um das Sicherheitsrisiko zu minimieren. Sie finden beide Lösungen im Microsoft Support Center.

Microsoft arbeitet an einem Patch für das Sicherheitsloch. Ob dieser allerdings außerhalb der monatlichen Update-Zyklen erscheint, ist noch unklar. Wenn nicht, müssen betroffene Anwender bis zum 13. April und den nächsten Patchday warten.

Update vom 12.03.2010: Lücke wird aktiv ausgenutzt
Das bekannte Sicherheitsloch wird bereits aktiv genutzt. McAfee beobachtete diese Angriffe und dokumentierte die Ergebnisse im hauseigenen Labs-Blog.

Moshe Ben Abu, israelischer Sicherheitsfachmann, nutzte die Informationen, um einen ausgiebigen Test an verschiedenen Systemen durchzuführen. Dabei gelang es ihm erfolgreich, Windows XP (SP3) mit den Versionen 6 und 7 des Internetexplorers zu übernehmen. Außerdem konnte er Windows Vista (SP2) mit einem IE 7 infizieren. Wir melden Ihnen, sobald Microsoft eine Lösung für dieses Problem gefunden hat.

Original-Artikel vom 10.03.2010: Microsoft: Sicherheitslücke im Internet Explorer 6 und 7 bekannt
Alarm für alle Nutzer des Internet Explorers 6 und 7: Microsoft hat eine Schwachstelle bestätigt, die von Angreifern dazu genutzt werden kann, den PC zu übernehmen. Es gibt noch keinen Patch für dieses Problem.

Nicht in Gefahr sind demnach der Internet Explorer 8 sowie die Uraltversion Internet Explorer 5.01. Ein Zeitplan für einen möglichen Patch steht noch nicht fest. Microsoft geht davon aus, dass die Lücke noch nicht ausgenutzt wird. Bis zur Veröffentlichung eines Updates empfiehlt Microsoft, die Zugriffsrechte auf die betroffene Datei "iepeers.dll" zu beschränken. Mehr Infos bekommen Sie im Security Bulletin bei Microsoft.

Mehr zum Thema:
• Microsoft startet Webbrowser-Auswahl in Deutschland
• Microsoft Internet Explorer 8 weltweit meistgenutzter Browser
• Microsoft: Windows Live Hotmail filtert täglich 4,5 Milliarden Spam-Mails heraus