Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

23. November 2009

Update - Kritische Sicherheitslücke in Microsoft Internet Explorer

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie auf der Sicherheits-Mailingliste Bugtraq gemeldet wurde, scheint es aktuell ein gravierendes Problem mit einer Komponente des Microsoft Internet Explorer zu geben. Der veröffentlichte Exploit-Code ist noch instabil, es ist aber damit zu rechnen, dass in den nächsten Tagen stabiler funktionierende Exploits auftauchen werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.
Laut den diversen Meldungen konnte das Problem bereits in den Versionen 6 und 7 des Internet Explorer auf Windows XP SP3-Systemen bestätigt werden, ob die aktuelle Version 8 des Internet Explorer bzw. Internet Explorer auf anderen Microsoft Windows Betriebssystemen auch betroffen sind, steht noch nicht fest, vor allem, da es noch kein Statement von Microsoft hierzu gibt.

Update
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:
  • Internet Explorer 6 Service Pack 1 auf Microsoft Windows 2000 Service Pack 4
  • Internet Explorer 6 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
  • Internet Explorer 7 auf Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren). Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren.

Da der Fehler in der Komponente
mshtml.dll
vermutet wird, die von anderen Browsern wohl nicht benutzt wird, ist auch die Benutzung alternativer Browser, etwa Mozilla Firefox oder Opera, ein gangbarer Weg.

Update
Microsoft empfiehlt betroffenen Benutzern, auf Internet Explorer Version 8 upzugraden.
Auch das Aktivieren von "DEP" für Internet Explorer 6 Service Pack 2 oder Internet Explorer 7 soll helfen: siehe http://support.microsoft.com/kb/977981

Weitere Informationen entnehmen sie bitte der mittlerweile vorliegenden Meldung von Microsoft: http://www.microsoft.com/technet/security/advisory/977981.mspx.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung auf Bugtraq
http://www.securityfocus.com/archive/1/507984/30/0/threaded
Meldung von VUPEN
http://www.vupen.com/english/advisories/2009/3301
Meldung bei Heise
http://www.heise.de/security/meldung/Neue-kritische-Luecke-im-Internet-Explorer-aufgetaucht-865897.html