Microsoft lässt kritische IE-Lücke offen

HP-Mitarbeiter haben in ihrem Security Research Blog Sicherheitslücken im Internet Explorer öffentlich gemacht, nachdem HP diese schon 2014 den Redmondern gemeldet hatte. HP hat sich dabei an das ordentliche Stillhalteabkommen von 120 Tagen gehalten. Nun hat Microsoft HP mitgeteilt, dass man nicht beabsichtige, die alten Lücken in der 32-Bit-Version des Internet Explorers zu schliessen.

Im Detail klafft dort eine sogenannte ASLR-Sicherheitslücke: Mit der Präventionstechnik ASLR sorgt das Windows-Betriebssystem für zufällige Adressbereiche und verhindert damit eine klare Zuordnung von Speicherbereichen der laufenden Prozesse. Das erschwert Angreifern das Einschleusen von Exploits. Der Grund, wieso HP so lange mit der Bekanntgabe der Sicherheitslücke zugewartet haben könnte, dürfte auch dem Umstand geschuldet sein, dass es immer eine peinliche Angelegenheit sein mag, einem Grosskonzern ein gewichtiges Problem einer zentralen Software-Komponente nahezulegen.

Microsoft sieht sich offensichtlich nicht gezwungen, die vorhandenen IE-Lücken zu schliessen. Grund: Die 64-Bit-Version sei sicherer. Diese Begründung ist aber ein wenig sehr trivial: Die 64-Bit-Version des Browsers profitiert in der Tat von einem grösseren Speicheradressierungsbereich als ein 32-Bit-System. Das liegt nun mal in der Natur der Sache. Damit wird aber ein Problem nicht aus dem Weg geschafft: Laut der HP ZDI nutzen immer noch Millionen Anwender die 32-Bit-Versionen des IE. Genau diese Browser-Version dürfte nun zu einem erklärten Ziel von Angreifern werden.

Solange noch nicht klar ist, ob Microsoft nachbessert, sollten Anwender, die noch mit dem 32-Bit-Browser von Microsoft unterwegs sind, so schnell wie möglich auf einen alternativen Browser wie Chrome, Firefox oder Opera ausweichen.

Um herauszufinden, ob Sie die 32-Bit-Version oder die 64-Bit-Version vom IE verwenden, gehen Sie kurz in den Task-Manager (mittels der Tastenkombination Alt+Ctrl+Del) und halten Ausschau nach dem Prozess iexplore.exe. Steht da iexplorer.exe *32, dann ist es die 32-Bit-Version; fehlt das *32, ist es die 64-bit-Version. Ein untergeordneter Prozess (ein sogenannter Kindprozess) kann sich dabei manchmal als 32-Bit-Prozess kenntlich zeigen. Man beachte also den Hauptprozess. Einfacher findet man die IE-Version auch per Rechtsklick/Eigenschaften über das Programmsymbol heraus. Liegt der IE im Ordner C:\Programme (x86)\Internet Explorer, handelt es sich um die 32-Bit-Version. Die 64-Bit-Versionen of Windows 7 und Vista haben aus Kompatibilitätsgründen sowohl die 32-Bit- als auch die 64-Bit-Versionen vorinstalliert. Die 64-Bit-Version des Internet Explorers sollte schon rein aus Performance-Gründen auf einem 64-Bit-Rechner installiert sein. Selbst für das veraltete und nicht mehr sichere Windows XP gibt es eine 64-Bit-Version des Browsers.

Welche IE-Version wird von welcher Windows-Version verwendet?