Menü
Alert!
Security

Zehn auf einen Streich -- Microsoft patcht Internet Explorer

Von
vorlesen Drucken Kommentare lesen 138 Beiträge

Mit einem außerplanmäßigem Update schließt Microsoft die seit rund drei Wochen bekannte kritische Lücke im Internet Explorer (iepeers.dll) – und gleich noch neun weitere, bislang unbekannte. Allerdings ist nicht jede der Lücken in allen unterstützten Versionen zu finden. Zudem variiert das Risiko eines erfolgreichen Angriffs je nach Version des Browsers und der Windows-Version, auf der er läuft. Die Gründe sind in der verbesserten Sicherheitsfunktionen in neueren Browser-Version (etwa geschützter Modus) und den Windows-Versionen (DEP, ASLR) zu finden.

Offen bleibt weiterhin die seit vier Wochen bekannte "F1-Lücke". Sie beruht auf der Möglichkeit der VBScript-Funktion MsgBox, Hilfe-Dateien (.hlp) von Netzwerkfreigaben nachzuladen und mit darin enthaltenen Makros beliebige Befehle auszuführen. Allerdings ist ein wenig Nutzerinteraktion notwendig: Der Anwender muss zur Bestätigung die F1-Taste drücken.

Für die im Rahmen des Pwn2own-Wettbewerbs gefundene Lücke im Internet Explorer 8 war die Zeit für einen Patch anscheinend zu kurz. Peter Vreugdenhil gelang es während des Wettbewerbs, den Internet Explorer 8 auf Windows 7 trotz ASLR und DEP zu knacken. Bislang beschränken sich die Informationen zu dieser Sicherheitslücke allerdings auf einen wenig konkreten Blog-Beitrag des Entdeckers.

Siehe dazu auch:

(dab)