Wie nun bekannt wurde, dürfte Microsoft bereits vor einem Jahr von der DirectShow-Lücke informiert gewesen sein
Anfang der Woche warnte der US-Softwarekonzer Microsoft vor einer gefährlichen Lücke im Internet Explorer - der WebStandard berichtete. ExpertInnen gehen davon aus, dass diese Lücke das Potenzial für Attacken im Ausmaß des Conficker-Schädlings ermöglichen konnte. Wie nun bekannt wurde, ist Microsoft bereits vor einem Jahr von der Lücke informiert worden, konnte aber bis dato keinen Patch liefern.
Lücke wird bereits ausgenutzt
Laut eines Berichts von darkReading kannte der Softwarekonzern die DirectShow-Lücke seit einem Jahr. Mehrere Antivirenhersteller haben gemeldet, dass bereits tausende präparierter Webseiten die Lücke ausnutzen, um PCs von Besuchern mit Malware zu infizieren.
Bestätigt
Christopher Budd vom Microsoft Response Center bestätigte, dass die Schwachstelle bereits 2008 von den Sicherheitspezialisten Ryan Smith und Alex Wheeler von IBMs X-Force an Microsoft gemeldet wurde. Man habe umgehend mit den Untersuchungen begonnen und habe dann die Erkenntnis erlangt, dass die beste Lösung das Entfernen der betroffenen ActiveX-Control aus dem Internet Explorer sei.
Patch in Arbeit
Derzeit würde man weiterhin an einem Patch für das Problem arbeiten. Bis dieses Update das Licht der Welt erblickt, muss das Fix-It-Tool ausreichen. Dieses ermöglicht es den AnwenderInnen auf einfache Weise das verwundbare Control beziehungsweise die Unterstützung dafür im System abschalten zu können. Aufgrund der bisherigen Meldungen ist davon auszugehen, dass nur AnwenderInnen des Internet Explorer 6 und 7 unter Windows XP und Server 2003 betroffen sind.(red)
