Patch für kritische Internet-Explorer-Lücke erscheint heute

Microsoft wird heute ein Update für die in der vergangenen Woche bekannt gewordene Zero-Day-Lücke im Internet Explorer veröffentlichen. Es kann ab etwa 10 Uhr pazifischer Zeit (19 Uhr deutscher Zeit) über die automatische Updatefunktion von Windows oder das Download-Center heruntergeladen werden.

Bei dem Patch handelt es sich um ein außerplanmäßiges kumulatives Sicherheitsupdate, das vor dem regulären Patchday am 9. Februar erscheint. Neben der für die Hackerangriffe auf Google und andere US-Unternehmen benutzen Schwachstelle behebt der Fix weitere Codeanfälligkeiten, zu denen der Softwareanbieter noch keine Angaben gemacht hat. „Wir empfehlen allen Kunden, das Update zu installieren, sobald es verfügbar ist“, schreibt Jerry Bryant vom Microsoft Security Response Center in einem Blogeintrag.

Darüber hinaus hat Microsoft die Existenz eines Proof-of-Concept zur Umgehung der Datenausführungsverhinderung (DEP) bestätigt. Der Exploit stelle für Windows XP ein höheres Risiko dar als für Vista und 7, so Bryant. Letzteres verfüge mit Adress Space Layout Randomization (ASLR) über einen zusätzlichen Schutzmechanismus. Der DEP-Bypass-Exploit sei bisher nicht öffentlich verfügbar.

Microsoft hat auch Details zu Produkten bekannt gegeben, die die Dateibibliothek „mshtml.dll“ nutzen und ebenfalls von der IE-Lücke betroffen sind. In der Ausgangskonfiguration gebe es nur ein geringes Risiko für Nutzer von Anwendungen wie Outlook, Outlook Express und Windows Live Mail. Für Anwender von Outlook 2007 bestehe gar keine Gefahr, da es eine andere Komponente zur Darstellung von HTML-E-Mails verwende.

Darüber hinaus rät Microsoft dazu, ActiveX Controls in Access, Word, Excel und PowerPoint zu deaktivieren. Mittels manipulierter Dateien, die mit einer dieser Office-Anwendungen geöffnet würden, könne die Schwachstelle ebenfalls ausgenutzt werden. Das Internet-Explorer-Update behebe die Schwachstelle jedoch in allen Produkten, die die mshtml.dll verwenden.