News
31.03.2010, 10:17 Uhr
Internet Explorer: (un)geflickt
Microsoft hat Dienstagabend ein neues kumulatives Sicherheits-Update für alle IE-Versionen bereitgestellt. Es beseitigt insgesamt zehn Sicherheitslücken, zwei Sicherheitslücken bleiben unbehandelt.
Microsoft hat ausser der Reihe ein Security-Bulletin veröffentlicht, das kritische Sicherheitslücken im Internet Explorer (IE) behandelt. Das zugehörige Sicherheits-Update «980182» beseitigt je nach IE-Version bis zu zehn Schwachstellen, von denen einige als kritisch eingestuft sind.
Anlass für das Update ausserhalb des monatlichen Patch-Zyklus ist eine kritische Sicherheitslücke in den Versionen 6 und 7 des IE. Sie ist seit dem letzten Patch Day vom 9. März bekannt und wird bereits für Angriffe im Web ausgenutzt. Eine Anfälligkeit in der Systembibliothek iepeers.dll ermöglicht es einem Angreifer, eingeschleusten Code auszuführen. Dazu genügt der Besuch einer speziell präparierten Webseite.
Weitere neun Sicherheitslücken betreffen zusammengenommen alle IE-Versionen von 5.01 bis 8, jede jeweils nur einen Teil davon. Diese Sicherheitslücken waren bislang nicht öffentlich bekannt, sie wurden vertraulich an Microsoft gemeldet. Je nach Windows-Version sind sie zum Teil als kritisch eingestuft.
Das kumulative Sicherheits-Update gegen diese neun Schwachstellen war ursprünglich für den nächsten Patch-Day am 13. April vorgesehen. Nach Fertigstellung und ausgiebigen Tests des Updates gegen die eingangs genannte Lücke hat sich Microsoft entschlossen, das komplette Update sowie das Security Bulletin MS10-018 zum Schutz seiner Kunden bereits zwei Wochen früher bereitzustellen.
Zwei Hausaufgaben
Am Internet Explorer bleibt für Microsoft jedoch weiterhin einiges zu tun. Im Rahmen des Hacker-Wettbewerbs Pwn2own hat der Sicherheitsforscher Peter Vreugdenhil in der letzten Woche den IE 8 mit einem Exploit für eine bis dahin nicht bekannte Schwachstelle gehackt. Ausserdem ist seit Anfang März die sogenannte «F1-Lücke» bekannt, die Microsoft noch nicht geschlossen hat. Sie betrifft vor allem Windows XP, nicht jedoch Windows 7 und Vista.
Anlass für das Update ausserhalb des monatlichen Patch-Zyklus ist eine kritische Sicherheitslücke in den Versionen 6 und 7 des IE. Sie ist seit dem letzten Patch Day vom 9. März bekannt und wird bereits für Angriffe im Web ausgenutzt. Eine Anfälligkeit in der Systembibliothek iepeers.dll ermöglicht es einem Angreifer, eingeschleusten Code auszuführen. Dazu genügt der Besuch einer speziell präparierten Webseite.
Weitere neun Sicherheitslücken betreffen zusammengenommen alle IE-Versionen von 5.01 bis 8, jede jeweils nur einen Teil davon. Diese Sicherheitslücken waren bislang nicht öffentlich bekannt, sie wurden vertraulich an Microsoft gemeldet. Je nach Windows-Version sind sie zum Teil als kritisch eingestuft.
Das kumulative Sicherheits-Update gegen diese neun Schwachstellen war ursprünglich für den nächsten Patch-Day am 13. April vorgesehen. Nach Fertigstellung und ausgiebigen Tests des Updates gegen die eingangs genannte Lücke hat sich Microsoft entschlossen, das komplette Update sowie das Security Bulletin MS10-018 zum Schutz seiner Kunden bereits zwei Wochen früher bereitzustellen.
Zwei Hausaufgaben
Am Internet Explorer bleibt für Microsoft jedoch weiterhin einiges zu tun. Im Rahmen des Hacker-Wettbewerbs Pwn2own hat der Sicherheitsforscher Peter Vreugdenhil in der letzten Woche den IE 8 mit einem Exploit für eine bis dahin nicht bekannte Schwachstelle gehackt. Ausserdem ist seit Anfang März die sogenannte «F1-Lücke» bekannt, die Microsoft noch nicht geschlossen hat. Sie betrifft vor allem Windows XP, nicht jedoch Windows 7 und Vista.
Kommentare
Es sind keine Kommentare vorhanden.
