Microsoft stopft die VML-Anfälligkeit im IE nun doch selbst

Das Microsoft Security Bulletin MS06-055 [1] behandelt die Anfälligkeit der Systembibliothek vgx.dll für überlange Fill-Anweisungen in VML-Grafiken (Vector Markup Language). Für Windows XP, 2000 und Server 2003 gibt es jeweils ein passendes Sicherheits-Updates. Das Sicherheits-Update KB925486 ersetzt die anfällige Datei vgx.dll durch eine korrigierte Version. Alle neuen Versionen der Datei tragen das Erstellungsdatum 18. September 2006.

Die umgehende Installation dieses Updates ist für alle Windows-Anwender dringend zu empfehlen, da die VML-Sicherheitslücke bereits von vielen Websites ausgenutzt wird, um schädlichen Code einzuschleusen. Nach der Installation des Sicherheits-Updates ist ein Neustart von Windows fällig. Das Update ist sowohl über das Microsoft Download Center als auch über Windows Update erhältlich.

Erst vor wenigen Tagen haben unabhängige Sicherheitsexperten [2] einen eigenen Patch gegen die Lücke zum Download bereit gestellt. Wohl deshalb wollte Microsoft mit der eigenen Lösung nicht länger zuwarten.