Die seit kurzer Zeit bekannte kritische Schwachstelle in Microsofts Webbrowser Internet Explorer (IE) wurde in der vergangenen Nacht - Mittwoch Abend US-amerikanischer Zeit - mittlerweile von Microsoft offiziell bestätigt. Die Lücke funktioniert auch unter den aktuellesten IE- und Windows-Versionen und gilt daher als potentiell äußerst gefährlich.
Die Schwachstelle erlaubt es, mit Hilfe manipulierter CSS-Dateien Schadcode auszuführen und so womöglich den Rechner zu übernehmen (gulli:News berichtete). Die in das aktuelle Betriebssystem Windows 7 eingebauten Sicherheitsmechanismen DEP (data execution prevention) und ASLR (address space layout randomization) werden dabei umgangen. Sicherheitsforscher stellten mittlerweile funktionierenden Exploit-Code beim Metasploit-Framework zur Verfügung. Von Angriffen durch Cyberkriminelle, die diese Lücke ausnutzen, ist allerdings bisher nichts bekannt.
Microsoft teilte mit, man werde einen Patch für die Lücke bereitstellen. Die Kriterien für ein außerplanmäßiges Update sieht man allerdings momentan nicht als erfüllt an. Carlene Chmaj, Sprecherin des Microsoft Security Response Center (MSRC), sagte allerdings, man werde die Bedrohungslandschaft genau im Auge behalten und bei einer Veränderung reagieren. Momentan wisse man von keinen Kunden, die durch die Schwachstelle tatsächlich Opfer eines Angriffs geworden seien.
Momentan sieht es also so aus, als sei mit einem Update zu einem der planmäßigen Microsoft-Patchdays zu rechnen. Ob die Lücke bereits im Januar behoben wird, bleibt allerdings abzuwarten - normalerweise werden Browser-Updates nur alle zwei Monate verteilt, was einen Patch erst zum Februar-Patchday nahelegen würde.
Andere Browser wie Chrome, Opera und Firefox sind nicht von dem Problem betroffen. Wer also auf Nummer sicher gehen will, könnte die zumindest zeitweise Nutzung eines alternativen Browsers erwägen.
Quelle: Gulli
