Schwerwiegende Lücke im Internet Explorer

In allen gängigen Versionen des Internet Explorers klafft laut der Sicherheitsfirma TippingPoint eine kritische Sicherheitslücke. Ob die Redmonder es schaffen, auf den vorgesehenen Patchday, am 9. Dezember, einen Fix über die Windows-Update-Zentrale auszurollen, bleibt noch ungewiss.

Über die gegenwärtige Lücke des Internet Explorers lässt sich aus der Ferne Code einschleusen. Dazu reicht es, wenn der Anwender eine präparierte Datei oder Webseite über den Browser aufruft.

Schon nur durch Hinzufügen einer CSS-Zeile und Ausführen «besonderer Manipulationen», die TippingPoint nicht näher erklären will, seien Angreifer in der Lage, die Verweildauer von HTML-Elementen im Programmspeicher zu manipulieren. Ein Angreifer kann diese Schwachstelle gezielt ausnutzen, um Code im Kontext eines aktuellen Prozesses auszuführen, ohne dass der IE davon Kenntnis nimmt. In Prinzip lässt sich mit dem vorausgesetzten Angreiferwissen gezielt beliebiger Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen.

Unter aktiver Verwendung des IE sind derzeit alle Daten auf dem System des Anwenders gefährdet. Sicherheitsforscher warnen, dass durch das jetzige Bekanntwerden der Lücke bald Angreife folgen dürften. Betroffen sind die Versionen 8, 9, 10 und 11, also so gut wie alle Versionen auf allen Windows-Versionen. Bis jetzt sind noch keine realen Angriffe bekannt.

Die Sicherheitsexperten des CERTs empfehlen Privatanwendern, bis auf Weiteres auf alternative Browser wie Firefox, Chrome und Opera auszuweichen, bis die Lücke von Microsoft gepatcht ist. Es bleibt somit abzuwarten, bis die weitreichende Lücke CVE-2014-8969 von Microsoft geschlossen ist. Wir raten ausserdem dazu, die Antivirenprogramme aktuell zu halten.

Nur wer absolut auf IE angewiesen ist, insbesondere Unternehmen mit IE-basierenden Intranet-Anwendungen, sollten wenigstens in den Einstellungen des Browsers, über Extras/Internetoptionen zum Reiter Sicherheit navigieren und dann die Sicherheitszone auf Hoch einstellen. Dies hat jedoch einschränkende Konsequenzen auf die Bedienbarkeit zur Folge, weil der IE danach bei jeder Seite mit Active-Scripting-Komponenten (JavaScript) die Ausführungsrechte nachfragt.