Wenn Sicherheitsdienstleister eine Softwarelücke aufspüren, wird üblicherweise zunächst der Hersteller informiert, um diesem die Chance zu geben, noch vor einer Veröffentlichung mit einem Update zu reagieren. Auf diese Weise soll die reale Gefährdung durch das Problem minimiert werden, zeigt die Erfahrung doch, dass bei den meisten Sicherheitslücken Angriffe erst nach einer Veröffentlichung einsetzen.

Abgeschlossen

Dieses Modell funktioniert freilich nur, wenn die Softwarehersteller mitspielen, und zeitgerecht Updates ausliefern. In einem aktuellen Fall ist es der Zero Day Initiative nun zu bunt geworden: Sieben Monate nachdem Microsoft über den Fehler informiert wurde, macht man eine kritische Lücke im Internet Explorer öffentlich.

Code

Über eine entsprechend präparierte Webseite kann ein Angreifer beliebigen Code auf dem System des Benutzers ausführen - und damit allerlei Schaden anrichten. Betroffen ist  ausschließlich der Internet Explorer 8, besonders prekär ist die Situation unter Windows XP. Ist dort der IE8 doch die aktuellste verfügbare Version des Browsers. Laut den aktuellen Zahlen von Netapplications ist der IE8 derzeit weiterhin die meistgenutzte Version des Microsoft-Browsers. Gut ein Fünftel aller Internetnutzer setzen diesen demnach aktuell ein.

Statement

Gegenüber CNET betont Microsoft, dass man an einem Fix arbeite, und prinzipiell diese auch immer so schnell wie möglich veröffentliche. Manche Updates seien aber komplexer als andere und müssten mit einer Fülle von Anwendungs- und Systemkombinationen getestet werden.

Wechsel

Bei Cert.at empfiehlt man angesichts der aktuellen Situation einmal mehr den Wechsel auf ein aktuellere Version von Windows oder den Umstieg auf ein anderes Betriebssystem. Falls dies nicht möglich ist, sollten zumindest alternative Browser wie Firefox, Chrome oder Opera zum Internetkonsum genutzt werden. (apo, derStandard.at, 22.5.2014)