Microsoft-Patchday: Aktiv ausgenutzte Lücke im Internet Explorer gepatcht

Ein Fehler in der Speicherverwaltung von Jscript und Vbscript ermöglicht die Ausführung fremden Codes im Internet Explorer und seinem Nachfolger Edge. Microsoft hat bereits mit Updates auf diese und weitere Sicherheitslücken reagiert.

Artikel veröffentlicht am ,
Für den Internet Explorer ist das aktuelle Security-Update am wichtigsten.
Für den Internet Explorer ist das aktuelle Security-Update am wichtigsten. (Bild: Microsoft)

Microsoft hat im Rahmen des monatlichen Patchdays eine Reihe kritischer Sicherheitslücken geschlossen, die unter anderem die Ausführung von Code aus der Ferne (Remote Code Execution, RCE) in verschiedenen Windows-Komponenten ermöglichen. Betroffen sind die Versionen 9 und 11 des Internet Explorer, außerdem der Windows-10-Standardbrowser Edge. Die Sicherheitslücke ermöglicht es Angreifern, über speziell präparierte Webseiten die Rechner von Nutzern anzugreifen.

Stellenmarkt
  1. Web-Entwickler (m/w/d)
    Hotel- und Gaststättenverband DEHOGA Baden-Württemberg e.V., Stuttgart
  2. IT-System Engineer (w/m/d) Schwerpunkt Linux-Server
    Computacenter AG & Co. oHG, verschiedene Standorte
Detailsuche

Dabei werden die in Windows integrierten Skriptsprachen Jscript und VBScript genutzt. Ein Fehler im Speichermanagement soll dafür verantwortlich sein. Microsoft schreibt: "Es liegen mehrere Sicherheitanfälligkeiten bezüglich der Art und Weise vor, wie die VBScript- und JScript-Module Objekte im Speicher verarbeiten, die in Internet Explorer dargestellt werden. Diese Anfälligkeiten können Remotecodeausführung ermöglichen und den Speicher so beschädigen, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann"

Angreifer können den Rechner übernehmen

Nach einem erfolgreichen Exploit kann der Angreifer dann Code mit den gleichen Rechten ausführen wie der aktuell angemeldete Benutzer. Ist dieser als Admin angemeldet, kann das System demnach übernommen werden.

Nach Angaben von Microsoft wird die Lücke bereits aktiv ausgenutzt, schnelle Updates sind daher zu empfehlen. Die Angriffe sollen vor allem in Südkorea stattfinden, weil der Internet Explorer dort eine weite Verbreitung hat.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    24.–25. November 2021, virtuell
Weitere IT-Trainings

Die aktuelle Update-Runde bringt außerdem unter anderem Verbesserungen für das Windows Media Center, das Office-Paket, Windows Journal, den integrierten Grafikdienst und die Windows Shell.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Reality 12K QLED: Pimax' VR-Headset tritt mit 12K und 200 Hz an
    Reality 12K QLED
    Pimax' VR-Headset tritt mit 12K und 200 Hz an

    Das Reality 12K QLED von Pimax kann am PC oder autark verwendet werden. Allerdings ist schon das Basismodell des VR-Headsets sehr teuer.

  2. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

  3. Time-Critical Communication: Ericsson will mit Software 1 ms Latenz zusichern
    Time-Critical Communication
    Ericsson will mit Software 1 ms Latenz zusichern

    Zusammen mit der Deutschen Telekom hat Ericsson Versuche gestartet, um die Latenz für Gamer zu senken. Die Software kommt als Update für 5G-Netze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /