Eine kritische Sicherheitslücke im Microsoft Internet Explorer wird offenbar zunehmend von Cyberkriminellen ausgenutzt. Die seit Dezember bekannte Schwachstelle basiert auf einem Fehler bei der Handhabung von Cascading Style Sheets (CSS) und erlaubt bei richtiger Ausnutzung die Übernahme des Rechners. Einen Patch gibt es bisher nicht.
Eine Besonderheit der Sicherheitslücke ist die Tatsache, dass die Schutzfunktionen moderner Windows-Systeme ausgehebelt werden (gulli:News berichtete). Die in das aktuelle Betriebssystem Windows 7 eingebauten Sicherheitsmechanismen DEP (data execution prevention) und ASLR (address space layout randomization) bieten in diesem Fall keinen zuverlässigen Schutz. Somit sind auch Windows 7 und der Internet Explorer 8 von der Problematik betroffen.
Microsoft hatte die Schwachstelle Ende Dezember bestätigt (gulli:News berichtete). Da zu diesem Zeitpunkt jedoch keine Fälle bekannt waren, in denen die Schwachstelle aktiv ausgenutzt wurde, sah man zunächst keinen Grund für ein außerplanmäßiges Update. Man beschloss, die Situation weiter zu beobachten und im Falle einer weiterhin akzeptablen Bedrohungslage auf den Februar-Patchday - dem nächsten regulären Termin für Browser-Updates - zu warten.
Nun gerät der Internet Explorer jedoch aufgrund dieses Fehlers zunehmend unter Beschuss. In einem Update des Advisories zum Thema heißt es, es gebe "begrenzte Angriffe", die man derzeit untersuche. Zudem veröffentlichte Microsoft einen Workaround, mit dem sich die Problematik umgehen lässt. Dieser könnte allerdings womöglich die Funktionalität des Browsers auf bestimmten Seiten einschränken. Microsoft erwähnt, Benutzer könnten eine höhere Hardware-Belastung beziehungsweise "leichte Performance-Probleme" erleben. Dies liege an der Notwendigkeit, CSS-Dateien zu blockieren.
Bisher gibt es keine offizielle Ankündigung, wann ein Update zur Verfügung gestellt wird.
Quelle: Gulli
