Kritische Sicherheitslücke in Microsoft Internet Explorer - Updates verfügbar
19. August 2015
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Microsoft Security Bulletin MS15-093 (englisch)
https://technet.microsoft.com/en-us/library/security/ms15-093.aspx
Cisco Vulnerability Alert (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=40549
Beschreibung
Microsoft hat ein "out-of-band" Sicherheitsupdate für Internet Explorer veröffentlicht (MS15-093), mit dem eine als kritisch bewertete Sicherheitslücke geschlossen wird.
CVE-Nummer: CVE-2015-2502
CVSS2 Base Score (laut Cisco): 9.3
Details
Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment nicht bekannt.
Auswirkungen
Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind die Versionen 7, 8, 9, 10 und 11 des Internet Explorers auf allen unterstützten Versionen von Microsoft Windows betroffen.Achtung - Windows XP
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein Upgrade auf aktuellere Versionen von Microsoft Windows oder andere Betriebssysteme, und bis dahin zumindest den Einsatz alternativer Browser (etwa Mozilla Firefox, Google Chrome, Opera).Abhilfe
Einspielen des zur Verfügung gestellten Updates.Wo dies nicht möglich ist, empfehlen wir den Einsatz alternativer Browser (etwa Mozilla Firefox, Google Chrome, Opera).
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):
Microsoft Security Bulletin MS15-093 (englisch)
https://technet.microsoft.com/en-us/library/security/ms15-093.aspx
Cisco Vulnerability Alert (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=40549