heise online › News › 2010 › KW 3 › Der Notfall-Patch für den Internet Explorer
21.01.2010 19:59
Der Notfall-Patch für den Internet Explorer
Bei dem Notfall-Update für den Internet Explorer handelt es sich um einen Sammel-Patch, der insgesamt gleich acht verschiedene Sicherheitslücken entschärfen soll. Die sicherlich wichtigste ist der Fehler in der Speicherverwaltung, der für gezielte Einbrüche bei Firmen wie Google ausgenutzt wurde und zu dem passender Exploit-Code auch bereits im Internet kursiert.
Darüber hinaus behebt Microsoft mindestens vier weitere Probleme, für die demnächst wohl Schadcode auftauchen wird. Zwei weitere Fehler im Speichermanagement hat angeblich bereits der Dezember-Patch für den IE so entschärft, dass sie sich nicht mehr gezielt ausnutzen lassen. Und schließlich hat Microsoft anscheinend auch das bereits bekannte XSS-Problem im Internet Explorer 8 doch noch entschärft.
Die Sicherheitsprobleme betreffen alle Versionen des Internet Explorer auf allen Windows-Versionen, einschließlich Internet Explorer 8 auf Windows 7. Das höchste Risiko trifft zwar die Anwender älterer Versionen, bei denen Schutzmechanismen wie Data Execution Prevention (DEP) und Adress Space Layout Randomisation (ASLR) noch nicht vorhanden oder aktiv sind. Doch auch die lassen sich umgehen, so dass jeder Windows-Nutzer diesen Sammel-Patch einspielen sollte. Im Übrigen können auch andere Windows-Anwendungen für die Probleme anfällig sein, wenn sie wie Outlook Komponenten des Internet Explorer verwenden. Auch diese Applikationen werden durch den Patch geschützt.
Interessant an der Lücke ist noch, dass Microsoft mittlerweile bestätigt, dass das Problem bereits im September vergangenen Jahres via "verantwortungsvoller Offenlegung" bei ihnen gemeldet wurde. Das dürfte die Diskussion um die effizienteste Veröffentlichungsstrategie erneut anheizen. Firmen wie Google und Adobe dürften jedenfalls kaum begeistert davon sein, das zu hören. Andererseits setzten die offenbar ja auch noch Internet Explorer 6 ein.
Siehe dazu auch:
- Sammel-Update für den Internet Explorer, Sicherheitsnotiz MS10-002 von Microsoft
- Sicherheitsfunktion des Internet Explorer 8 unsicher, auf heise Security
- Windows-Lücke nach 17 Jahren gefunden
- Lücke im Internet Explorer: Rettung naht
- Lücke im Internet Explorer: Gute und schlechte Nachrichten
- Gezielte Angriffe auf Unternehmen gehen weiter
- Exploit für IE-Sicherheitslücke jetzt öffentlich
- BSI warnt vor Nutzung des Internet Explorer
- "Rote Hacker": Cyber-Attacken aus China
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
English version: The emergency patch for Internet Explorer
heise Security
Malware auf der Spur
Kriminelle verschleiern die Spuren ihrer Malware im Internet mit diversen Methoden. Doch mit speziellen Tools kann man die Wege zurückverfolgen und herausfinden, über welche Schwachstelle ein Schädling eingedrungen ist.
mehr…
Weitergereicht - Pass-The-Hash-Angriffe gegen Windows
Wenn man NTLM- oder LM-Hashes aus einem System extrahieren kann, muss man die nicht unbedingt knacken, um sie danach zu verwenden. Oft kann man sie auch direkt weiterverwenden.
mehr…
Spionage auf Blackberry-Geräten
Der Sicherheitsdienstleister SMobile hat untersucht, wie effektiv die Sicherheitsfunktionen arbeiten und wie aussagekräftig Warnungen sind, damit ein Anwender eine richtige Entscheidung treffen kann.
mehr…
Alerts
- CA aktualisiert ARCserve Backup
- Sicherheits-Updates für Drupal-Module
- Sicherheitslücke in SpamAssassin-Filtermodul
- Exploit für neue IE-Lücke
- Angriffe über neu entdeckte Lücke in Internet Explorer 6 und 7
News
ONLINE MARKT
Werbung
