Zero-Day-Lücke: Microsoft veröffentlicht Notfall-Patch für Internet Explorer

Microsoft hat heute einen Notfall-Software-Patch veröffentlicht, der die kritische Sicherheitslücke CVE-2018-8653 in seinem Browser Internet Explorer schließt. Davon betroffen sind die Versionen 11 unter Windows 7 bis Windows 10 sowie Windows Server 2012, 2016 und 2019. Auch Internet Explorer 9 unter Windows Server 2008 und Internet Explorer 10 unter Windows Server 2012 weisen die Schwachstelle auf.

Die Lücke in der Datei jscript.dll wird laut Microsoft aktiv ausgenutzt. Der Patch sollte also so schnell wie möglich installiert werden. Entdeckt hat die Schwachstelle Clement Lecigne von der Threat Analysis Group bei Google.

Durch die Sicherheitslücke kann sich ein Angreifer die gleichen Rechte wie der aktuell angemeldete Nutzer verschaffen. Ist der Nutzer mit Administratorrechten angemeldet, kann der Angreifer also die volle Kontrolle des Rechners übernehmen und bösartigen Code ausführen. Um die Schwachstelle ausnutzen zu können, muss der Benutzer mit dem Internet Explorer auf eine bösartige Website gelockt werden, die Schadcode auf seinem Computer ausführt. Die Schwachstelle kann aber auch über Anwendungen ausgenutzt werden, die die IE-Skript-Engine einbetten, um webbasierte Inhalte zu rendern – wie Anwendungen der Office-Suite.

Durch die Sicherheitsaktualisierung erhöht sich bei Windows 10 1809 Oktober-2018-Update die Buildnummer auf 17763.195. Sollte die automatische Update-Funktion die Aktualisierung nicht installieren, besteht die Möglichkeit, die Patches auch manuell einzupflegen.