Ausserplanmässiges Update
21.12.2018, 09:50 Uhr
Microsoft patcht Zero-Day-Lücke im Internet Explorer
Microsoft stellt ein Sicherheitsupdate für die Internet-Explorer-Versionen 9, 10 und 11 bereit. Ein Sicherheitsforscher hatte eine kritische Lücke entdeckt, die Angreifern den Fernzugriff auf Systeme ermöglicht.
Microsoft verteilt ausserplanmässig ein Sicherheitsupdate für den immer noch unterstützten Browser Internet Explorer (IE). Ein Sicherheitsexperte hatte das Leck entdeckt und an die Redmonder gemeldet.
Microsoft schätzt das Risiko der Lücke als «kritisch» ein. Ausserdem sei sie bereits von Angreifern ausgenutzt worden, schreibt der Konzern. Deshalb könne man nicht bis zum nächsten planmässigen Patchday am 8. Januar 2019 warten. Daher verteilt Microsoft bereits jetzt die Sicherheitsupdates für die IE-Versionen 9, 10 und 11 an die Nutzer.
Die Lücke erlaubt Angreifern den Fernzugriff auf das System eines Opfers. Verantwortlich hierfür ist ein Fehler in der Scripting Engine, die eine Speicher-Manipulation möglich macht. Über letztere können Angreifer dieselben Zugriffsrechte wie der augenblicklich angemeldete Nutzer erlangen – im schlimmsten Fall also auch vollständigen Systemzugriff als Admin.
In der Praxis könnten Angriffe etwa über speziell gestaltete Webseiten erfolgen, die darauf ausgelegt sind, die Schwachstelle im Internet Explorer auszunutzen. Mittels Spam-Mails werden die Nutzer daraufhin auf die schädliche Webseite gelockt.
Nutzer, die den Internet Explorer noch im Einsatz haben, sollten das Update umgehend herunterladen und installieren. Wie bei Microsoft üblich, wird das Update automatisch an die Nutzer verteilt. Alternativ steht dieses aber auch zum Download auf der Webseite der Redmonder bereit.