Microsoft testet Patch für neue Internet-Explorer-Lücke

Microsoft hat auf die Veröffentlichung eines Exploits für die Anfang vergangener Woche aufgetauchte Zero-Day-Lücke in Internet Explorer 6 und 7 reagiert. Nach Angaben des Unternehmenssprechers Jerry Bryant testet der Softwareanbieter seit Freitag einen Patch, der die Anfälligkeit in der Datei „iepeers.dll“ beheben soll.

„Es wird darüber spekuliert, ob Microsoft außer der Reihe ein Update für den Fehler bereitstellen wird“, schreibt Bryant in einem Blogeintrag. „Ich kann sagen, dass wir hart an einem Patch arbeiten, der schon getestet wird.“ Es sei ein schwieriger und zeitintensiver Prozess, der alle betroffenen Versionen des Internet Explorer unter allen unterstützten Windows-Versionen umfasse.

Darüber hinaus müsse Microsoft alle unterstützten Sprachen und Tausende Anwendungen von Drittanbietern testen, so Bryant. „Wir schließen die Möglichkeit eines außerplanmäßigen Updates nie aus.“ Sobald der Patch fertig gestellt sei, werde Microsoft eine Entscheidung treffen, die sich nach den Bedürfnissen seiner Kunden richte.

Seine Sicherheitswarnung hat der Softwareanbieter um einen Workaround erweitert, der über ein Fix-it-Tool automatisch eingerichtet werden kann. „Wie immer sollten Kunden das Tool eingehend testen, bevor sie es anwenden“, heißt es weiter in dem Blogeintrag. Möglicherweise schränke die Übergangslösung bestimmte Features des Browsers wie die Druckfunktion oder den Zugriff auf Web Folder ein.

Microsoft hatte an seinem März-Patchday vor einer neuen Schwachstelle im Internet Explorer gewarnt, die es einem Angreifer ermöglicht, beliebigen Schadcode einzuschleusen und auszuführen. Kurz darauf war es einem israelischen Hacker gelungen, den anfälligen Code in der Datei „iepeers.dll“ zu finden. Ein Blogeintrag von McAfee lieferte ihm die dafür benötigten Informationen. Sein Exploit ist über die Penetrationstest-Suite Metasploit frei im Internet verfügbar.