Microsofts Internet Explorer 8 weist seit Oktober 2013 eine kritische Sicherheitslücke auf, die bis heute noch nicht geschlossen wurde. Das geht aus einem neuen Bericht der Zero-Day Initiative (ZDI) des Sicherheitsunternehmens TippingPoint hervor. Die ZDI-Richtlinien sehen vor, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.
Dem Report zufolge erlaubt die Anfälligkeit Angreifern, Schadcode im Internet Explorer 8 auszuführen. Dazu genügt es, dass der Nutzer eine manipulierte Website aufruft.
Obwohl Microsoft der Fehler seit Oktober bekannt ist, hat es ihn bisher nicht behoben. Ob dies daran liegt, dass das Problem so schwierig zu lösen ist, oder damit zusammenhängt, dass IE 8 die letzte Browserversion für das nicht mehr offiziell unterstützte Windows XP ist, wollte Microsoft nicht sagen.
Der Softwarekonzern teilte lediglich mit, dass er bisher keinen aktiven Exploit für die Zero-Day-Lücke registriert habe, also die Schwachstelle noch nicht ausgenutzt werde. „Wir entwickeln und testen jeden Sicherheitsfix so schnell wie möglich. Einige Fixes sind komplexer als andere. Wir müssen jeden einzelnen mit einer Vielzahl von Programmen und Konfigurationen testen“, erklärte ein Microsoft-Sprecher.
Es ist nicht die erste Zero-Day-Lücke in IE 8 seit dem Support-Ende für Windows XP im April. Kurz nachdem Microsoft den offiziellen Support für das Betriebssystem eingestellt hatte, zwang ein Zero-Day-Exploit es, nochmals einzugreifen und einen Notfall-Patch zu veröffentlichen.
Außer das Betriebssystem zu wechseln, empfiehlt Microsoft IE-8-Nutzern, die Sicherheitsstufe für die Internet-Zone auf „hoch“ zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Zudem sollten Anwender Internet Explorer so konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Darüber hinaus rät Microsoft zur Installation des Enhanced Mitigation Experience Toolkit (EMET).
[mit Material von Seth Rosenblatt, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
