Kritische Sicherheitslücke in Microsoft Internet Explorer - Updates verfügbar

19. August 2015

Beschreibung

Microsoft hat ein "out-of-band" Sicherheitsupdate für Internet Explorer veröffentlicht (MS15-093), mit dem eine als kritisch bewertete Sicherheitslücke geschlossen wird.

CVE-Nummer: CVE-2015-2502
CVSS2 Base Score (laut Cisco): 9.3

Details

Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.

Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment nicht bekannt.

Auswirkungen

Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Nach den aktuell vorliegenden Informationen sind die Versionen 7, 8, 9, 10 und 11 des Internet Explorers auf allen unterstützten Versionen von Microsoft Windows betroffen.

Achtung - Windows XP

Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein Upgrade auf aktuellere Versionen von Microsoft Windows oder andere Betriebssysteme, und bis dahin zumindest den Einsatz alternativer Browser (etwa Mozilla Firefox, Google Chrome, Opera).

Abhilfe

Einspielen des zur Verfügung gestellten Updates.

Wo dies nicht möglich ist, empfehlen wir den Einsatz alternativer Browser (etwa Mozilla Firefox, Google Chrome, Opera).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Microsoft Security Bulletin MS15-093 (englisch)
https://technet.microsoft.com/en-us/library/security/ms15-093.aspx
Cisco Vulnerability Alert (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=40549