Lücke im Internet Explorer für Industriespionage genutzt

Microsoft hat vor einer Zero-Day-Lücke im Internet Explorer gewarnt. Untersuchungen des Softwareanbieters zufolge haben Hacker die Schwachstelle für die im Lauf der Woche bekannt gewordenen, zielgerichteten Angriffe auf Google und andere US-Unternehmen ausgenutzt.

Die Codeanfälligkeit besteht im Internet Explorer 6 unter Windows 2000, XP und Server 2003, im IE7 unter XP, Server 2003, Vista und Server 2008 sowie im IE8 unter XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2. Laut einer Sicherheitswarnung ist nur der Internet Explorer 5.01 SP4 unter Windows 2000 SP4 nicht betroffen.

Die Sicherheitslücke ermöglicht es einem Angreifer, die Kontrolle über ein ungepatchtes System zu übernehmen. Zuvor müsse ein Anwender dazu verleitet werden, eine manipulierte Website zu besuchen, so Microsoft. Ein Fix sei schon in Arbeit. Ob das Problem im Rahmen des nächsten regulären Patchdays am 9. Februar oder früher behoben wird, teilte Microsoft nicht mit.

Als Workaround empfiehlt der Softwareanbieter, die Internetsicherheitszone auf „Hoch“ zu stellen, so dass Nutzer der Ausführung von ActiveX Controls und Active Scripting zustimmen müssen. Zudem reduziere die aktivierte Datenausführungsverhinderung (Date Execution Prevention), die im IE8 voreingestellt ist, negative Auswirkungen von Online-Angriffen.

Anfang der Woche hatte Google einen zielgerichteten Angriff auf sich gemeldet, dessen Urheber aus China stammen sollen. Adobe hat bestätigt, dass es ebenfalls von der Attacke betroffen war. Weitere mögliche Opfer sind unter anderem Yahoo, Symantec, Juniper Networks, Northrop Grumman und Dow Chemicals.

• Download Firefox 3.5.7
• Download Google Chrome 3.0
• Download Opera 10.10
• Download Safari 4.04