Sicherheitslücke in Microsofts Internet Explorer geschlossen

Umfangreiches Update veröffentlicht - auch eine Lücke im Flash-Player wurde behoben

Microsoft hat die gefährliche Sicherheitslücke in seinem Browser Internet Explorer geschlossen. Der Windows-Konzern veröffentlichte am Freitagabend wie angekündigt ein umfangreiches Software-Update. Die Nutzer müssen entweder die automatische Update-Funktion aktiviert haben oder sich die Aktualisierung bei Microsoft herunterladen. Nur wenige Anwender seien Ziel eines Angriffs über die Schwachstelle geworden, betont das Unternehmen.

BSI empfahl Browser-Wechsel

Die Sicherheitslücke war am vergangenen Wochenende bekanntgeworden. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte dann am Montagabend vor der Nutzung des Browsers gewarnt und empfahl den Umstieg auf alternative Browser. Betroffen war der Internet Explorer in den Versionen 9 und älter.

Flash-Player-Lücke

Über die nun geschlossene Schwachstelle kann ein Computer mit Schadsoftware infiziert werden. Dazu reicht es schon, eine präparierte Webseite zu besuchen. Zunächst hatte Microsoft Mitte der Woche eine Zwischenlösung ins Netz gestellt. Zusammen mit dem Update hat Microsoft auch einen Patch für eine Sicherheitsanfälligkeit im Flash-Player für Internet Explorer 10 veröffentlicht. (APA/red, 22.9.2012)

Share if you care
21 Postings
Über die nun geschlossene Schwachstelle kann ein Computer mit Schadsoftware infiziert werden.

Dann hätten sie's vielleicht besser offen lassen sollen.

Interessant dabei ist, dass der Sicherheitsstandard beim IE10 massiv höher geworden ist - weil dort die bislang unbekannte Sicherheitslücke einfach nicht existiert hat.
und @W-Man: Lesen bildet: Die Sicherheitslücke des IE10 hat Adobe Flash (der im IE10 integriert ist) betroffen, nicht den IE....

IE10 ist noch nicht einmal heraussen und schon gibt's die erste Malware... Nicht schlecht ;)

das betraf den (integrierten) FlashPlayer von Adobe, nicht IE ...

Das spielt aber keine Rolle, denn relevant ist nur, dass das Teil mit jedem IE10 ausgeliefert wird und dass MS für die Updates verantwortlich ist, im Gegensatz zum regulären Flash-Player.

sagt wer? Kennst Du die Verträge zw MS und Adobe?

Exklusiv für den InternetExplorer

existiert ein eigenes Flashplayer-Plugin mit Active-X.

Microsoft ist SEHRWOHL mitverantwortlich für die Sicherheitslücken die bei Verwendung dieses Plug-ins von Adobe "in's System gerissen werden".

Microsoft hätte bereits am Tag des Bekanntwerdens so einer gravierenden Bedrohung einen (temporären) Hotfix liefern müssen.
Notfalls eine primitive Deaktivierung des Flash-Plugins.

und wie sollte das ein Unternehmen schaffen?

Vor oder hinter der Datumsgrenze? Also ein Hotfix in < 24h ist IMHO nicht zu bewerkstelligen. Treten ähnliche Probleme bei anderen Browsern, v.a. aber bei anderen weniger zentral betreuten Betriebssystemen (wie etwa Linux) auf, dann will ich schon mal sehen wie lange es dauert bis die updates programmiert und v.a. koordiniert werden. Aber gut, bei manchen gehört MS-Basherei zum guten Ton. Davon abgesehen dass Vista/7/8 User eh nur bedingt betroffen waren (UAC hätte reagiert), war IMHO die Reaktion sehr wohl prompt, und so soll es auch sein ...

UAC hätte nicht zwangsläufig reagiert. Malware kann auch ohne Admin-Rechte laufen.

Lesen...

Diese betraf den Flash-Player (Adobe).

vorbildliche Reaktion von MS!

Egal wie manche zu diesem Unternehmen stehen, die Reaktion war absolut prompt und vorbildlich. Und anders als manche Medien und Ämter wieder mal bashen mussten von wegen "leider ist bislang unklar wann MS die Lücke schließen wird", hat MS selbst sehr zeitig reagiert und zunächst auf das EMET Tool verwiesen, solange bis eben das update zur Verfügung stand. Vorbildlich, ann man nicht anders sagen. Was das allerdings genau für eine Lücke war und wie realistisch Angriffe/Kompromitierungen gewesen wären, kann man wohl nciht so richtig abschätzen ...

Also von prompt und vorbildlich kann hier auf gar keinen Fall sprechen ... bei Mitbewerbern (zB. Firefox) kommt üblicherweise innerhalb von ein, zwei Tagen ein Update .. das nenn' ich vorbildlich.
Aber jemand der dir Realität mit Füssen tritt (" Was das allerdings genau für eine Lücke war und wie realistisch Angriffe/Kompromitierungen gewesen WÄREN, kann MAN") wohl nciht so richtig abschätzen ...") kann das wahrscheinlich gar nicht anders sehen.

was es genau für eine Lücke war ...

und v.a. wie realistisch die Bedrohungen wirklich waren, ist ja in der Tat nicht eindeutig; bei Vista/7/8 Nutzern hätte zumindest die UAC getriggered. Außerdem hat MS ja auch noch auf das EMET Tool als Übergangslösung hingewiesen und dort sieht man zumindest ob für die entsprechenden Anwendungen (iexplore.exe) DEP und andere Mechanismen aktiviert sind. Finds sowieso komisch dass immer nur der Fokus auf den "Brausern" liegt; die Infrastruktur, allenvoran die TCP/IP Stacks, müssten doch viel eher kompromittierbar sein als ein Browser der ja meist nur Schicht 5-7 des OSI Modells benützt ...

Für Benutzer von Vista oder 7 wars eh nur "halb so schlimm", da hätte die UAC schlimmeres verhindert...

internet explorer betrifft mich gottseidank nicht :)

1) Bist Du gläubig? 2) weshalb dann hier posten, wenn's Dich eh nicht betrifft?

@ 2) freie Meinungsäußerung??!!

mich ebenfalls nicht, denn ich hab ie10 installiert

Jeder wie er will.

Mir persönlich wäre es ein zu großes Risiko, den IE zu verwenden. Auch in der Version 10. Und in Sachen Kompatibilität ist der IE ja auch nicht gerade ein Vorbild. Da sind andere Browser wesentlich besser.

Aber vor allem was da noch alles an Sicherheitslücken im IE schlummert, die erst so nach und nach zum Vorschein kommen...

Google ist aber mit dem PepperFlash ebenfalls nicht auf dem richtigen Weg

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.