Details zur Lücke im Internet Explorer - IE8 Anwender lt. Microsoft nicht gefährdet

[Supernature]

Die am Freitag unter anderem vom BSI bekannt gegebene Sicherheitslücke im Internet Explorer wurde inzwischen auch von Microsoft bestätigt.
Betroffen sind nahezu alle Versionen des Browsers unter allen Betriebssystemen - lediglich der betagte Internet Explorer 5 ist nicht anfällig für die Schwachstelle, über die ein Angreifer in das System eindringen und die Kontrolle darüber übernehmen kann.

Bislang ist kein Patch in Sicht, daher schützt vor diesem Sicherheitsleck aktuell nur die Vewendung eines alternativen Browsers.
Microsoft empfiehlt die Sicherheitseinstellung der Internetzone auf "hoch" zu stellen - damit könne ein bösartiges Script zumindest nicht vom Anwender unbemerkt ausgeführt werden.

Besondere Vorsicht ist vor allen Dingen deshalb geboten, weil der Code zur Ausnutzung der Schwachstelle inzwischen auch öffentlich im Internet aufgetaucht ist.

Es wird übrigens vermutet, dass für die Angriffe auf Google in China genau diese Sicherheitslücke genutzt wurde.

[Supernature]

Microsoft teilt nun in einer Pressemitteilung mit, dass Anwender des Internet Explorer 8 nicht gefährdet seien:


Unterschleißheim, 18. Januar 2010. Am 16. Januar 2010 haben wir unsere Kunden durch eine neue Version des Security Advisory 979352 auf http://www.microsoft.com/technet/sec...ry/979352.mspx darüber informiert, dass wir davon Kenntnis haben, dass schädlicher Programmcode, der die Lücke, die bei den jüngsten Angriffen gegen Benutzer des Internet Explorer 6 ausgenützt wurde, in die Öffentlichkeit gelangt ist. Das Advisory enthält auch Informationen, welche Versionen des Internet Explorers betroffen sind und was unsere Kunden tun können, um sich vor Angriffen zu schützen.
Unsere Sicherheitsteams arbeiten an einem Update und wir werden unsere Kunden informieren, sobald das geplante Update die nötigen Qualitätskriterien für eine breite Verfügbarkeit erfüllt. Möglicherweise wird auch bereits vor dem offiziellen Update-Tag (zweiter Dienstag in jedem Monat) ein sogenanntes „außer-der-Reihe“ Update von uns zur Verfügung gestellt werden.

Die gegenwärtig bekannten Angriffe haben keine Auswirkung auf Benutzer des Internet Explorer 8, da dieser über erweiterte Sicherheitsfunktionen verfügt. Internet Explorer 8 enthält weitreichende Sicherheitsmechanismen wie Data Execution Prevention (DEP) und den geschützten Modus (protected mode), die die derzeit bekannten Angriffe unwirksam machen.

Unseren Kunden raten wir weiterhin zu erhöhter Aufmerksamkeit bei Links zu evtl. nicht vertrauenswürdigen Webseiten, zur Überprüfung der eigenen PC Sicherheit (Firewall, aktuelle Antivirus Lösung etc.).

Bedauerlicherweise müssen wir feststellen, dass eines unserer Produkte für kriminelle Aktivitäten benutzt wurde. Deshalb arbeiten wir zusammen mit Google, anderen Partnern in der Software-Industrie und internationalen Behörden daran, den Sachverhalt aufzuklären.

Die neue Version des Security Advisory 979352 ist im Internet verfügbar unter:
http://www.microsoft.com/technet/sec...ry/979352.mspx

Weitere Informationen

* Microsoft-Sicherheitsempfehlung*(979352): Sicherheitsanfälligkeit in Internet Explorer kann Remotecodeausführung ermöglichen

* Security Research & Defense

* The Microsoft Security Response Center (MSRC) : Further Insight into Security Advisory 979352 and the Threat Landscape

[digitaldouchebag]

Ich mach seit Jahren schon einen Großen Bogen um den IE von winzigweich.
Zumindest für mein Subjektives Sicherheitsgefühl.

Das jetzt mit der "Sicherheitslücke des IE" wundert mich in keinster Weise.


tty.

[Timelord]

So wie das BSI informiert (oder detailierter Bürger-CERT) betrifft die Lücke nicht nur den IE, sondern weitere MS-Programme:
* Microsoft Outlook (bis einschließlich Outlook 2003)
* Microsoft Outlook Express
* Microsoft Windows Mail
* Microsoft Windows Live Mail
* Microsoft Hilfesystem
* Microsoft Sidebar

Zitat:

Zitat von Bürger-CERT

Die Schwachstelle beruht auf einem Fehler in der Microsoft HTML-Bibliothek mshtml.dll und betrifft potenziell alle Anwendungen, die darauf zugreifen.

[QuHno]

Gestern kam hier das das Update eingeflogen, ich hab's leider erst beim herunterfahren des Rechners bemerkt, sonst hätte ich es direkt geschrieben ...

Auch wenn man den IE nicht nutzen sollte, ist das kein Grund, ihn nicht zu aktualisieren! (Grund siehe Posting direkt hierüber)

Wer nicht automatisch täglich auf Updates überprüfen lässt, sollte spätestens heute ein manuelles Windows Update durchführen.

BTW: Je nach System und wer es bisher geschlampt hat, weil er den IE "nie benutzt":
Bitte auch gleich das Flash Plugin für den IE updaten lassen. Speziell ältere Windows Versionen haben per default das Flash6 ActiveX Plugin drin, was alles andere als sicher ist. Dieses Plugin wird von einigen anderen Softwareprodukten mit genutzt, speziell denen, die Teile des Internet Explorers für ihre eigenen Anzeigen verwenden. Darunter fallen unter anderem auch einige Antiviren Programme

Direkt danach die Flash Sicherheitseinstellungen überprüfen und eventuell gespeicherte überflüssige "Inhalte" löschen.

Rechnersicherheit ist kein Zustand, sondern ein Prozess, den man ständig im Auge behalten sollte.

[Gamma-Ray]

Das scheint ja nach wie vor lückenhaft zu sein, was MS da so produziert.

Wie gut, dass es noch alternative Browser gibt.

[digitaldouchebag]

Nächster Dienstag (Also 9.Feb. 2010).
Dürfte ein nicht unwichtiger Tag werden für den Arg gebeutelten IE werden:
http://www.golem.de/1002/72907.html
-
http://www.heise.de/security/meldung...en-922806.html




tty.

[Gamma-Ray]

Hilfe! Die Meldungen reißen nicht ab und diesmal ist es die F1-Taste.

[QuHno]

Ist das nicht eher eine Sicherheitslücke des Hilfe Systems?

Wenn ja, wäre dann nicht sogar jede Software betroffen, die online gehen kann, den Scripting Host benutzt und eingebaute Hilfe System verwendet?

Aber egal - die F1 Taste hab ich schon lange nicht mehr betätigt und XP stirbt hier auch langsam aus