Microsoft: Zero-Day-Lücke unter Internet Explorer 6, 7 und 8

4. November 2010, 12:13
4 Postings

Aktuelle IE-Beta 9 nicht von Problem betroffen - Fix-it-Tool schafft vorerst Abhilfe

Nutzer von Internet Explorer 6, 7 und 8 werden von Microsoft vor einer Zero-Day-Lücke gewarnt. Das Sicherheitsunternehmen Symantec erklärt, dass das Sicherheitsleck bereits aktiv ausgenutzt werde um Windows-Systeme mit Malware zu infizieren. Für die Infizierung soll eine Mail mit Link zu einer manipulierten Webseite gesorgt haben.

Fehler

Verantwortlich für den Fehler zeigt sich die fehlerhafte Verarbeitung beim Parsen von CSS in HTML-Dokumenten. Bestimmte Zeiger ließen sich so manipulieren um Schadcode in Windows einzuschleusen.

Problemlösung

Microsoft arbeitet bereits an einem Patch, allerdings nicht mit höchster Priorität, dafür ist die Lücke vermutlich noch zu unbekannt. Auch sei der Exploit noch nicht öffentlich. Der Softwarekonzern empfiehlt stattdessen die Aktivierung der Datenausführungsverhinderung (DEP) unter Windows 7, Vista und XP. Während DEP beim Internet Explorer 8 bereits standardmäßig aktiv sei, wird für IE7-Nutzer der Download des Fix-it-Tools empfohlen, um DEP nachträglich einzuschalten. Unter IE6 laufen durch die Software entsprechende Attacken ins Leere. (red)

Der WebStandard auf Facebook

Share if you care.