Neue Zero-Day-Lücke betrifft auch Internet Explorer 9

Ein Microsoft-Sprecher hat bestätigt, dass die in der vergangenen Woche vom Sicherheitsunternehmen FireEye entdeckte Zero-Day-Lücke in Internet Explorer auch Version 9 des Browsers betrifft. Wie Computerworld berichtet, sind damit fast 20 Prozent der Internetnutzer dem Risiko eines Angriffs ausgesetzt.

„Microsoft sind begrenzte, zielgerichtete Attacken gegen Internet Explorer 10 bekannt“, zitiert Computerworld den Microsoft-Sprecher. „Unsere Untersuchung hat gezeigt, dass Internet Explorer 9 und Internet Explorer 10 betroffen sind.“

Laut Zahlen von Net Applications griffen im Januar rund 9,28 Prozent der Nutzer mit IE10 auf das Internet zu. Für Internet Explorer 9 ermittelten die Marktforscher einen Anteil von 8,92 Prozent, was einem gemeinsamen Anteil von 18,2 Prozent entspricht. Bezogen auf Nuzter des Microsoft-Browsers sind es sogar fast 32 Prozent, die eine unsichere IE-Version verwenden.

Nutzer von IE9 unter Windows Vista können jedoch die Empfehlung des Softwarekonzerns, ein Upgrade auf die sichere Version IE11 durchzuführen, nicht umsetzen: IE11 bietet Microsoft nur für Windows 7 und 8 an. Allerdings läuft Vista den Zahlen von Net Applications zufolge nur noch auf 3,3 Prozent aller Computer.

Darüber hinaus hat auch Websense den Exploit für die Zero-Day-Lücke in Internet Explorer analysiert. Dabei fand es Hinweise darauf, dass Hacker die Schwachstelle schon deutlich länger ausnutzen als bisher angenommen. Offenbar wurde der Verband der französischen Luft- und Raumfahrtindustrie GIFAS, dem auch Rüstungsunternehmen angehören, schon im Januar über die IE-Lücke angegriffen.

Am 20. Januar sei eine speziell präparierte Shockwave-Flash-Datei (Tope.swf) bei VirusTotal eingereicht worden. „Das haben wahrscheinlich die Angreifer gemacht, um herauszufinden, ob Antivirenprogramme vor dem Exploit schützen“, schreibt Websense. Zu dem Zeitpunkt habe aber keine Software den Exploit erkannt. Des Weiteren werde der Schadcode nur im Speicher ausgeführt und nicht auf eine Festplatte geschrieben, um die Erkennung durch Antivirensoftware zu erschweren.

Microsoft hat bisher noch kein Security Advisory für die Zero-Day-Lücke veröffentlicht. Noch ist unklar, ob das Unternehmen das Loch mit einem außerplanmäßigen Update stopfen wird oder ob Anwender bis zum nächsten regulären Patchday am 11. März warten müssen. Möglicherweise wird Microsoft aber vorab ein Fix-it-Tool bereitstellen, das Nutzer zumindest vor den Folgen eines Angriffs schützt. Ähnlich war der Softwarekonzern auch schon Anfang Januar bei einer anderen Zero-Day-Lücke in seinem Browser vorgegangen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.