Sicherheits-Patch für Internet Explorer

VML-Dateien erlauben Ausführung von Programmcode. Überraschend hat Microsoft einen außerplanmäßigen Sicherheits-Patch für den Internet Explorer veröffentlicht. Für das am 20. September 2006 bekannt gewordene Sicherheitsloch in Microsofts Browser hatte ein Drittanbieter bereits einen Patch veröffentlicht. Dieser Schritt dürfte Redmond dazu gebracht haben, den Patch außerplanmäßig zu veröffentlichen. Denn gleichwohl beteuert Microsoft weiterhin, die Gefahr durch das Sicherheitsloch sei nur gering.

27. September 2006 um 11:12 Uhr / Ingo Pakalski

2 Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsleck steckt in der Vgx.dll des Internet Explorer, die für die Darstellung von VML-Inhalten (Vector Markup Language) zuständig ist. Mit Hilfe von VML werden Vektorinformationen in Webseiten eingebunden. Angreifer müssen ihre Opfer lediglich dazu bringen, manipulierte VML-Inhalte mit dem Internet Explorer oder einem E-Mail-Client zu öffnen, der Microsofts Rendering Engine zur Anzeige von HTML-E-Mails verwendet. Dann lässt sich beliebiger Programmcode ausführen.

Im Internet wurde bereits Programmcode gefunden, der diese Sicherheitslücke ausnutzt. Während Sicherheitsspezialisten das Risiko als hoch bewerten , hat Microsoft in den letzten Tagen immer wieder beteuert, dass die Gefahr nur gering sei, weil sich der im Internet kursierende Schadcode bislang kaum verbreitet habe. Offensichtlich hat die Bereitstellung eines Patches eines Drittanbieters Microsoft nun zu dem ungewöhnlichen Schritt veranlasst, einen außerplanmäßigen Patch zu veröffentlichen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

Expert*in Lösungsarchitektur IT Betrieb Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

IT-Administrator (m/w/d) Sparkasse Altenburger Land, Altenburg (öffnet im neuen Fenster)

Werkstudent*in Analytics Erneuerbare Energien KlimaInvest Green Concepts GmbH, Hamburg (öffnet im neuen Fenster)

IT-Architekt:in (m/w/d) mit Spezialisierung für Enterprise- und Lösungsarchitekturen Föderale IT-Kooperation (FITKO), Frankfurt (öffnet im neuen Fenster)

Senior Data Architect (m/w/d) Bucher Hydraulics Erding GmbH, Unterföhring (öffnet im neuen Fenster)

Application- und Infrastructure-Manager*in Landeshauptstadt Kiel, Kiel (öffnet im neuen Fenster)

Duales Studium (w/m/d) Business Administration Volksbank an der Niers eG, Geldern (öffnet im neuen Fenster)

Seitdem Microsoft den monatlichen Patch-Day eingeführt hat, kam es nur äußerst selten vor, dass Sicherheits-Patches unabhängig von diesem Stichtag veröffentlicht wurden. Selbst wenn bereits Schadcode im Umlauf war und ein offenes Sicherheitsloch ausgenutzt wurde, hatte Redmond wiederholt bis zum Patch-Day gewartet, um die entsprechenden Fehler in seinen Produkten zu korrigieren.

Ab sofort steht ein Sicherheits-Patch für den Internet Explorer 5.01 und 6 zum Download(öffnet im neuen Fenster) bereit und wird über die Update-Funktion von Windows verteilt. Vor der Einspielung des Patches müssen eventuell vorgenommene Workarounds rückgängig gemacht werden, betont der Hersteller.

Zur Startseite 2 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Neue Sicherheitslücke im Internet Explorer

Noch kein Patch verfügbar. Eine neue Sicherheitslücke im Internet Explorer wird bereits aktiv ausgenutzt und wurde von Microsoft bestätigt. Über das Sicherheitsleck können Angreifer beliebigen Programmcode ausführen, um sich eine umfassende Kontrolle über einen fremden Rechner zu verschaffen. Microsoft beschwichtigt, das reale Risiko sei gering, während Sicherheitsexperten von Secunia und McAfee die Gefahr als hoch einschätzen.

Sieben gefährliche Sicherheitslücken im Internet Explorer

Sammel-Patch beseitigt acht Sicherheitslecks in Microsofts Browser. Mit einem Sammel-Patch korrigiert Microsoft gleich acht Sicherheitslücken im Internet Explorer, wovon fünf als gefährlich einzustufen sind. Der Sammel-Patch vom Juni 2006 korrigiert zudem zwei Spoofing-Lecks in Microsofts Browser. Außerdem stehen Patches für den JScript-Interpreter und die ART-Grafikbibliothek bereit. Über viele der nun bekannt gewordenen Sicherheitslücken können Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Microsofts Patch-Day: Das dreckige Dutzend

12 Patches schließen 23 Sicherheitslücken; Sammel-Patch für Internet Explorer. Insgesamt 23 Sicherheitslücken schließt Microsoft am Patch-Day für den Monat August 2006 mit 12 Patches. Ein Sammel-Patch für den Internet Explorer korrigiert gleich acht Sicherheitslücken, während zwei Patches insgesamt drei Sicherheitslecks in Office beseitigen. Zudem müssen zwölf Sicherheitslücken in Windows geschlossen werden. Ein Großteil der Sicherheitslücken lässt sich für das Ausführen von Programmcode missbrauchen, so dass die Patches möglichst bald eingespielt werden sollten.

Relevante Themen