Sicherheitslücke: IE 7 bis 9/10 betroffen

Morgen ist zwar wieder Patchday bei Microsoft. Aber ob die jetzt von den Sicherheitsforschern bei FireEye entdeckte Sicherheitslücke im IE geschlossen wird, wage ich zu bezweifeln.

Die letzte große Sicherheitslücke im IE wurde ja erst am 17. September 2013 mit einem Notfall-Update gefixt. Jetzt gibt es eine neue Lücke. In diesem Blog-Beitrag von letztem Freitag machen die Mannen von Fireeye auf einen Zero Day Exploit aufmerksam, der im Internet Explorer lauert und wohl auch ausgenutzt wird. Beim Besuch einer infizierten Webseite (es wurde eine infizierte US-Website gefunden) kann diese über einen Speicherüberlauf einen Angriff starten.

Laut Blog-Eintrag zielt der momentane Angriff auf englische Browserversionen – es ist aber anzunehmen, dass auch internationale Browserversionen angreifbar sind. Diese nicht abgefangene Schwachstelle in der Speicherverwaltung trifft unter Windows XP den Internet Explorer 7 und 8. In Windows 7 sind die Internet Explorer Versionen 7, 9 und 10 tangiert.

Eine weitere Infos finden sich auch bei Spiegel Online – wobei der Artikel aber fälschlicherweise Entwarnung für die IE-Versionen 9 und 10 gibt! Im FireEye-Blog wird ganz klar darauf hingewiesen, dass (auf Basis vorhandener Analysen) auch der IE 9 und 10 in Windows 7 betroffen sind. Windows 7-Nutzer können aber auf den kürzlich vorgestellten Internet Explorer 11 upgraden – der diese Lücke nicht aufweist. Wie es mit Windows 8 und dem Internet Explorer 10 ausschaut, geht aus dem FireEye-Blog-Beitrag nicht hervor. Windows Vista ist auch nicht behandelt – aber man sollte von einer Sicherheitslücke in den vorhandenen IE-Versionen ausgehen.

Links:
a1: FireEye-Blog-Beitrag zur Sicherheitslücke
a2: Artikel in Spiegel Online mit Hinweisen
a3: Internet Explorer 11 für Windows 7 freigegeben