Menü

Microsoft schließt Zero-Day-Lücke im Internet Explorer

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 216 Beiträge
Von

Microsoft hat wie angekündigt das Sicherheits-Update zum Schließen der Zero-Day-Lücke außerhalb der Reihe veröffentlicht. Der Patch soll die Lücke für alle Versionen des Internet Explorer 5.01 bis 7 schließen und steht für alle verfügbaren Windows-Versionen zur Verfügung. Auch die Beta 2 der Version 8 ist von dem Sicherheitsproblem betroffen, für sie steht ebenfalls ein Update bereit.

In allen Fällen sollten Anwender nicht zögern, das Update zu installieren. IE-Nutzer, die das automatische Update aus bestimmten Gründen deaktiviert haben, sollten dies wieder einschalten oder die Patches manuell herunterladen. Im Security Bulletin MS08-078 sind alle erforderlichen Links aufgeführt.

Mit dem Patch sollten Anwender zumindest vor den aktuell kursierenden Exploits geschützt sein, die derzeit auf diversen Webseiten zu finden sind. Zumindest funktionierten in einem Kurztest von heise Security mehrere verbreitete Exploits nach der Installation des Patches nicht mehr. Zwar handelt es sich bei den betroffenen Web-Sites meist um Porno-Seiten, allerdings hat es auch schon seriöse Seiten getroffen. So wurde etwa Berichten zufolge die Webseite des Anbieters von Mainboards Abit durch SQL-Injection infiziert.

Die Lücke im Internet Explorer beruht auf einem Problem im Data Binding, sodass unter Umständen ein Objekt freigegeben wird, ohne dass die dazugehörige Arraylänge aktualisiert wird. Damit ist der Zugriff auf den Speicherplatz des gelöschten Objekts möglich, was sich zum Einschleusen und ausführen von Code ausnutzen lässt. Dies lässt sich nicht nur durch fehlerhafte SPAN-Tags in XML-Dokumenten ausnutzen, wie ursprünglich angenommen wurde.

Schon im Oktober musste Microsoft eine kritische Lücke im Server-Dienst außer der Reihe patchen. Für die bekannten Lücken in Wordpad und Microsofts SQL-Server 2000 und 2005 gibt es indes keinen Patch, obwohl zumindest die in Wordpad bereits ausgenutzt wird.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)