Zero-Day-Lücke in Internet Explorer 8 seit Monaten ungepatched

Microsofts Internet Explorer 8 weist seit Oktober 2013 eine kritische Sicherheitslücke auf, die bis heute noch nicht geschlossen wurde. Das geht aus einem neuen Bericht der Zero-Day Initiative (ZDI) des Sicherheitsunternehmens TippingPoint hervor. Die ZDI-Richtlinien sehen vor, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.

Dem Report zufolge erlaubt die Anfälligkeit Angreifern, Schadcode im Internet Explorer 8 auszuführen. Dazu genügt es, dass der Nutzer eine manipulierte Website aufruft.

Obwohl Microsoft der Fehler seit Oktober bekannt ist, hat es ihn bisher nicht behoben. Ob dies daran liegt, dass das Problem so schwierig zu lösen ist, oder damit zusammenhängt, dass IE 8 die letzte Browserversion für das nicht mehr offiziell unterstützte Windows XP ist, wollte Microsoft nicht sagen.

Der Softwarekonzern teilte lediglich mit, dass er bisher keinen aktiven Exploit für die Zero-Day-Lücke registriert habe, also die Schwachstelle noch nicht ausgenutzt werde. „Wir entwickeln und testen jeden Sicherheitsfix so schnell wie möglich. Einige Fixes sind komplexer als andere. Wir müssen jeden einzelnen mit einer Vielzahl von Programmen und Konfigurationen testen“, erklärte ein Microsoft-Sprecher.

Es ist nicht die erste Zero-Day-Lücke in IE 8 seit dem Support-Ende für Windows XP im April. Kurz nachdem Microsoft den offiziellen Support für das Betriebssystem eingestellt hatte, zwang ein Zero-Day-Exploit es, nochmals einzugreifen und einen Notfall-Patch zu veröffentlichen.

Außer das Betriebssystem zu wechseln, empfiehlt Microsoft IE-8-Nutzern, die Sicherheitsstufe für die Internet-Zone auf „hoch“ zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Zudem sollten Anwender Internet Explorer so konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Darüber hinaus rät Microsoft zur Installation des Enhanced Mitigation Experience Toolkit (EMET).

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago