News 17.12.2008, 10:55 Uhr

Microsoft flickt Internet Explorer

Noch heute wird Microsoft einen Notfall-Patch für alle gängigen Versionen des hauseigenen Browsers Internet Explorer (IE) veröffentlichen.
Die Lücke im Internet Explorer ist bereits seit längerer Zeit bekannt, blieb aber dennoch ungepatcht – auch beim jüngsten Update-Reigen, der traditionell am Anfang eines jeden Monats durchgeführt wird.
In einem Security-Bulletin kündigt Microsoft nun einen Ausser-Plan-Notfall-Flicken an. Er soll die Sicherheitslöcher stopfen, die dieser Tage in mehreren Versionen des IE entdeckt wurden und für die auch schon Anleitungen zum Ausnützen einer Schwachstelle (sogenannte Exploits) kursieren. Sicherheitsexperten gehen davon aus, dass bereits zwei Millionen Computer weltweit über die Internet-Explorer-Schwachstelle mit Malware infiziert wurden.
Das Update wird heute um 19 Uhr sowohl auf der Microsoft-Update-Seite als auch im Microsoft Download Center zur Verfügung stehen.
Allen Anwendern von IE 5, 6 und 7 wird dringend empfohlen, den Flicken einzuspielen.



Kommentare
Avatar
pagefault
17.12.2008
Die Berichtigung von Fehlern bei Microsoft-Produkten dauert einfach viel zu lange. Mit Service hat das nichts mehr zu tun. hmm, Details zu der aktuellen Lücke im Internet Explorer wurden am vergangenen Dienstag, 9. Dezember 2008, versehentlich durch eine chinesische Firma veröffentlicht. Am Mittwoch, 10. Dezember 2008 hat Microsoft die Öffentlichkeit darüber mit diesem Bulletin informiert. Heute, am 17. Dezember 2008, - also genau 8 (acht!) Tage später, kriegst du die Korrektur frei Haus geliefert. Falls dir das langsam erscheinen sollte, hast du imho nicht viel Erfahrung mit Software Entwicklungszyklen und Qualitätssicherung etc. Wenn du denkst, ein anderes Betriebssystem bzw ein anderer Browser habe keine (kritischen) Fehler, bist du imho auch hier nicht besonders gut informiert: Firefox: http://www.heise.de/security/Webbrowser-Firefox-3-0-5-schliesst-mehrere-Sicherheitsluecken--/news/meldung/120565 Opera: http://www.heise.de/security/Opera-9-63-schliesst-sieben-Sicherheitsluecken-auf-einen-Streich--/news/meldung/120500 Safari: http://secunia.com/advisories/product/17978/?task=advisories Max OS X: http://www.heise.de/security/Mac-OS-X-10-5-6-verfuegbar--/news/meldung/120478 Linux: http://secunia.com/advisories/search/?search=linux

Avatar
kut
17.12.2008
Heute, am 17. Dezember 2008, - also genau 8 (acht!) Tage später, kriegst du die Korrektur frei Haus geliefert. Falls dir das langsam erscheinen sollte, hast du imho nicht viel Erfahrung mit Software Entwicklungszyklen und Qualitätssicherung etc. Wenn dem wirklich so ist, wäre die Reaktion echt schnell. Aber offenbar gibt es die Lücke ja schon seit dem IE 6 ... und der hat doch schon einige Zeit auf dem Buckel ... aber offenbar sind die Lücken erst kürzlich entdeckt worden. Und: natürlich gibt es auch bei anderen Browsern immer wieder Löcher. Nur ist die Gefahr mit dem IE wegen der noch immer grössten Verbreitung dieses Browsers höher. Mfg kut

Avatar
sergey
17.12.2008
Und: natürlich gibt es auch bei anderen Browsern immer wieder Löcher. Nur ist die Gefahr mit dem IE wegen der noch immer grössten Verbreitung dieses Browsers höher. Bei ersterem stimm ich dir zu, bei zweiterem aber nicht. Jeder Browser hat Lücken, die einen schneller gefunden, andere weniger. Das hat nichts mit der Verbreitung zu tun. Auf jeden Fall: Dieses Katz und Mausspiel wird es immer geben. Gruss sergey

Avatar
eribach
18.12.2008
Ich habe das Update bereits heruntergeladen:Ging problemlos über "?" - Onlinesupport. Sicherheitsupdate für Internet Explorer 7 unter Windows XP (KB960714) Letztes Veröffentlichungsdatum: 18.12.2008 Downloadgröße: 2.4 MB Es wurden Sicherheitslücken entdeckt, durch die ein Angreifer in ein System mit Microsoft Internet Explorer eindringen und die Steuerung übernehmen könnte. Durch die Installation dieses Updates von Microsoft können Sie zum Schutz Ihres Systems beitragen. Nach der Installation dieser Komponente müssen Sie den Computer gegebenenfalls neu starten. Systemanforderungen Empfohlene CPU: Nicht angegeben. Empfohlener Arbeitsspeicher: Nicht angegeben. Empfohlener Speicherplatz auf der Festplatte: Nicht angegeben. Informationen zur Deinstallation Dieses Softwareupdate kann in der Systemsteuerung unter "Software" deinstalliert werden. Hilfe und Support http://support.microsoft.com Weitere Informationen http://go.microsoft.com/fwlink/?LinkId=137335 Eine Frage beschäftigt mich noch: Falls mein PC vorher bereits infitziert wurde, stoppt dieses Update das Problem oder wenn nicht, kann der, in meinem Fall das MC AFEE - Securiecenter Schutz bieten?

Avatar
elk_less_e
18.12.2008
Trusted site Ich versuchte soeben den Patch manuell herunterzuladen. Anstatt der üblichen Meldung erscheint eine Meldung, dass ich die "trusted site" anpassen müsse. Nachdem ich dies getan habe, obwohl ich mir nicht sicher bin, was mit * gemeint ist, kommt eine Meldung, dass das Herunterladen nicht möglich sei. Was mache ich falsch?

Avatar
kut
18.12.2008
Bei ersterem stimm ich dir zu, bei zweiterem aber nicht. Jeder Browser hat Lücken, die einen schneller gefunden, andere weniger. Das hat nichts mit der Verbreitung zu tun. sergey Ist schon klar, aber dass sich Kriminelle vorwiegend auf Schwächen der am meisten verbreiteten Software stürzen - weil sie damit am meisten Schaden anrichten können - ist ebenso klar. Das war meine Meinung. Und nur schon deswegen nutze ich den IE nicht mehr. Mfg kut

Avatar
Michel.Eichelberger
18.12.2008
Ist schon klar, aber dass sich Kriminelle vorwiegend auf Schwächen der am meisten verbreiteten Software stürzen - weil sie damit am meisten Schaden anrichten können - ist ebenso klar. Das war meine Meinung. Und nur schon deswegen nutze ich den IE nicht mehr. Mfg kut Das Hauptproblem des IE ist nicht die Verbreitung ansich, sondern die tiefe Verwurzelung im System. Dabei entstehen nämlich die meisten Lücken, weil schon andere Schnittstellen der Windows internen Dienste und Programme Lücken auweisen, oder aufwiesen. Klar, die Verbreitung spielt eine Rolle, aber nicht zwingend primär.

Avatar
gunny
18.12.2008
elk_less_e: du machst wahrscheinlich nichts falsch. ich habe auch gestrenabend über das kundenzenter das up-date gezogen. wahrscheinlich ist die seite total überlastst. meine meinung. kann mich auch irren.

Avatar
elk_less_e
18.12.2008
Inzwischen hat sich der automatic update gemeldet und ich konnte den Patch herunterladen und installieren. Ich habe dennoch nochmals versucht manuell auf die Update Seite zu gelangen und erhielt folgende Meldung: To view and download updates for your computer, Windows Update should be listed as a Trusted Site in Internet Explorer. To add Windows Update to the trusted sites zone: On the Tools menu in Internet Explorer, click Internet Options. Click the Security tab. Click the Trusted Sites icon, and then click Sites... Uncheck the "require server verification" checkbox. Make sure the following URLs are listed in the Web Sites list box: http://*.windowsupdate.microsoft.com http://*.windowsupdate.com Kann mir jemand dies erklären?

Avatar
eribach
18.12.2008
Um sicher zu gehen z.B.bei XP geht man über Start auf Suche, gibt bei Dateien*.* ein, beschränkt die Suche auf letzte Woche oder den Tag der Aktualisierung und startet die Suche. Wenn z.B. (bei XP mit IE7) das Folgende gefunden wird: KB960714-IE7.log im C:/WINDOWS, ist das Update OK.