Internet Explorer: Microsoft schließt zehn Schwachstellen

Microsoft hat wie angekündigt ein außerplanmäßiges Update für den Internet Explorer veröffentlicht, das zehn Schwachstellen schließt. Darunter ist auch eine als kritisch eingestufte Lücke in IE6 und IE7, für die seit mehreren Wochen ein Exploit frei im Internet verfügbar ist.

Der Patch MS010-018 betrifft laut Microsoft alle unterstützten Versionen von Internet Explorer unter Windows 2000, XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Er behebt unter anderem Fehler bei der Überprüfung des Ursprungs von Skripten sowie bei der Verarbeitung von Objekten im Speicher und langen URLs.

Sicherheitsexperten begrüßten, dass sich der Softwareanbieter dazu entschlossen habe, außer der Reihe ein Update bereitzustellen. Symantec teilte mit, die Zahl der Angriffe auf die Zero-Day-Lücke in IE6 und IE7 habe zugenommen. HD Moore, Chief Security Officer bei Rapid7 und Entwickler der Penetrationstest-Suite Metasploit, erklärte, Microsoft habe eingesehen, dass es sich bei der Zero-Day-Lücke in IE6 und IE7 um ein größeres Problem handele.

Nutzer neuerer Versionen des Internet Explorer warnte Moore davor, sich in Sicherheit zu wiegen, wenn auf ältere Versionen wie IE6 ausgerichtete Exploits erschienen. Es sei einfacher geworden, Schadcode für den Internet Explorer 8 unter Windows 7 64-Bit zu entwickeln. Trusteer-CEO Mickey Boodaei erwartet, dass Hacker das jetzt veröffentlichte Update dafür nutzen werden, um per Reverse Engineering eine Angriffsmethode für den Internet Explorer 8 zu entwickeln.

Microsoft wies zudem darauf hin, dass das Sicherheitsupdate noch keinen Fix für die am ersten Tag des Hackerwettbewerbs Pwn2Own 2010 entdeckte Browserlücke enthält. „Wir untersuchen dieses Problem noch“, schreibt Microsoft-Sprecher Jerry Bryant in einem Blogeintrag. Da der Fehler gemäß den Regeln des Wettbewerbs vertraulich gemeldet worden sei, könne Microsoft ein Update entwickeln, bevor Hacker die Anfälligkeit ausnützen könnten.