Menü

Inoffizieller Patch für Lücke im Internet Explorer

vorlesen Drucken Kommentare lesen 176 Beiträge

eEye , Hersteller von Sicherheitssoftware und Sicherheitsdienstleister, hat einen inoffiziellen Patch zum Schließen der aktuellen Lücke in der JavaScript-Funktion createTextRange() des Internet Explorer herausgegeben. Mehr als 200 Seiten sollen laut Websense bereits versuchen, PCs von Besuchern mit Trojanern und Spyware zu infizieren.

eEye empfiehlt nur solchen Anwendern den Patch zu installieren, denen das Abschalten von Active Scripting aus bestimmten Gründen nicht möglich ist. In Tests von heise Security funktionierte der Demo-Exploit nach der Installation des Patches mit dem Internet Explorer 6 und XP SP1 nicht mehr, ebenso schien der Internet Explorer 7 unter XP SP2 immun gegen den Angriff. Allerdings war das System nach einem Angriff dennoch nur noch schwer bedienbar, da der Exploit den Speicher vollschreibt.

Laut Marc Maiffret, Chief Hacking Officer von eEye, habe der Patch auch nur experimentellen Charakter, der aber bis zum Patchday von Microsoft temporären Schutz bieten könne. Sobald das offizielle Update der Redmonder erschienen ist, sollte man den Patch wieder deinstallieren. Der Patch ist kostenlos, ohne Registrierung von eEye zu beziehen und darüber hinaus auch als Quellcode verfügbar.

Microsoft rät derweil von der Installation des Patches ab, da er vom Softwarekonzern noch nicht getestet sei. Kunden sollten genau abschätzen, ob sie das Risiko eingehen wollten, meinte Stephen Toulouse, Program Manager von Microsofts Security Response Center. Die Situation erinnert stark an die WMF-Lücke in Windows Anfang dieses Jahres, für die auch zuerst ein inoffizieller Patch vom Ilfak Guilfanov, dem Entwickler des Disassemblers IDA Pro, erschien, von dessen Installation Microsoft ebenfalls abriet.

Siehe dazu auch: (dab)