Menü
Security

Inoffizieller Patch für VML-Lücke im Internet Explorer

Von
vorlesen Drucken Kommentare lesen 74 Beiträge

Unabhängige Sicherheitsspezialisten haben einen Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Der vom Zero Day Emergency Response Team (ZERT) herausgegebene Patch soll die Lücke in Windows 2000 SP4, Windows XP SP1 und SP2 sowie Windows Server 2003 SP1 (und R2) schließen. ZERT reagiert damit nach eigener Aussage auf den unzulänglichen Update-Zyklus von Microsoft selbst bei kritischen Lücken, der nach Meinung des Teams einfach zu große Abstände aufweist. So genannte Crimeware Gangs hätten sich inzwischen auf den Zyklus eingestellt und würden Exploits für unbekannte Lücken just einen Tag nach Microsofts Patchday starten. Bis zum nächsten Patchday hätten sie dann vier Wochen, in denen Anwender für diese Schwachstellen verwundbar sind.

Mitglieder des ZERT sind unter anderem Joe Stewart von SecureWorks, Halvar Flake von Sabre Security, Ilfak Guilfanov, Autor von IDA Pro und Entwickler des WML-Patches von Anfangs des Jahres, Roger Thompson von Exploit Prevention Labs sowie Florian Weimer. Gadi Evron, Spezialist für Bot-Netze stellt sich als "Operations Manager" zur Verfügung, während Dan Hubbard, Leiter der Forschungsabteilung bei Websense technische Unterstützung bei Zero-Day-Outbreaks liefern soll.

In der Vergangenheit war Microsoft von der Veröffentlichung inoffizieller Patches wenig begeistert und warnte vor dem Einspielen. Dies dürfte auch in diesem Fall nicht anders sein. Zwar ist der Patch laut Evron getestet, allerdings garantiere dies nicht, dass er in jeder Umgebung ohne Probleme funktioniere. Immerhin sei dies aber eine Option, um nicht bis zu 10. Oktober warten zu müssen. Dann könne man ja den offiziellen Patch von Microsoft installieren.

Zur Installation des Patches steht eine Version mit GUI sowie eine für die Eingabeaufforderung zur Verfügung. Mit beiden Versionen lässt sich der Patch auch wieder entfernen – was bei einem kurzen Test der heise Security Redaktion auch funktionierte. Ob der Internet Explorer verwundbar ist und die Installation des Patches die Lücke schließt, lässt sich anhand einer Demo-Seite des ZERT überprüfen. Zumindest stürzte der gepatchte Browser im Test beim Aufruf der Demo-Seite nicht mehr ab. (dab)