Internet Explorer 11: Sicherheitsupdate (9. März 2021)

Noch ein kleiner Nachtrag von letzter Woche. Am Patchday, den 9. März 2021, hat Microsoft auch ein Sicherheitsupdate für den Internet Explorer 11 (sowie den Edge-Browser) freigegeben. Dieses soll die 0-day-Schwachstelle CVE-2021-26411 schließen. Ergänzung: Will Dorman meldet Zweifel an, dass die Schwachstelle geschlossen ist.


Anzeige

0-day-Schwachstelle CVE-2021-26411

Die Schwachstelle CVE-2021-26411 geht auf eine Speicherbeschädigungs-Schwachstelle (Memory Corruption Vulnerability) im Browser zurück, die sowohl den Internet Explorer als auch Chromium-Browser wie den Microsoft Chromium Edge betreffen. Microsoft hat den Aufwand zur Ausnutzung der Schwachstelle als niedrig, die Folgen aber als hoch eingestuft. Zudem sind Exploits für diese Schwachstelle in freier Wildbahn bekannt.

Die Schwachstelle ist meiner Einschätzung nach bereits seit längerem bekannt. Im Blog-Beitrag 0patch fixt 0-day im Internet Explorer hatte ich Anfang Februar 2021 berichtet, dass ACROS Security eine Micropatch für seinen 0patch-Agenten herausgebracht hat. Dieser schützte den Internet Explorer 11 vor der Ausnutzung dieser Sicherheitslücke und stand kostenfrei allen Windows-Nutzer, die den 0patch-Agenten einsetzen, zur Verfügung. Nachdem Microsoft nun einen offiziellen Fix freigegeben hat, bietet ACROS-Security den Micropatch nur noch in seinen kostenpflichtigen Pro-Versionen an. Das geht aus diesen Tweets hervor.

Microsoft hat eine Übersicht zur Schwachstelle CVE-2021-26411 auf dieser Webseite veröffentlicht. Dort werden die einzelnen Updates zum Schließen der Schwachstelle aufgelistet.

  • Unter Windows 10 sind die Patches für den Microsoft Edge und den Internet Explorer 11 in den kumulativen Updates integriert (siehe  Patchday: Windows 10-Updates (9. März 2021))
  • In Windows 7 und Windows 8.1 ist dieser Patch in den Rollup-Updates integriert (siehe Links am Artikelende). Das Gleiche gilt für die Server-Pendants dieser Betriebssysteme.
  • Bei den Security-only Updates für Windows 7 und Windows 8.1 sowie die Server-Pendants dieser Betriebssysteme ist das kumulative Sicherheitsupdate KB5000800 für den Internet Explorer 11 installiert separat zu installieren.

Das kumulative Sicherheitsupdate KB5000800 für den Internet Explorer 11 steht für folgende Betriebssysteme zur Verfügung:

  • Internet Explorer 11 für Windows Server 2012 R2
  • Internet Explorer 11 unter Windows 8.1
  • Internet Explorer 11 unter Windows Server 2012
  • Internet Explorer 11 für Windows Server 2008 R2 SP1
  • Internet Explorer 11 für Windows 7 SP1
  • Internet Explorer 9 unter Windows Server 2008 SP2

Das Update wird über Windows Update, den WSUS und im Microsoft Update Katalog bereitgestellt. Details zum Update finden sich im Supportbeitrag KB5000800.

Schwachstelle wirklich geschlossen?

Ergänzung: Der Sicherheitsforscher Will Dorman hat Zweifel daran, dass die Schwachstelle wirklich geschlossen ist. In diesem Tweet und einem Folgetweet drückt er das direkt aus und schreibt dass der Fix keinen Absturz verhindert.

Ähnliche Artikel:
Microsoft Office Patchday (2. März 2021)
Microsoft Security Update Summary (9. März 2021)
Patchday: Windows 10-Updates (9. März 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (9. März 2021)
Patchday: Windows 8.1/Server 2012-Updates (9. März 2021)
Patchday Microsoft Office Updates (9. März 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Edge, Internet Explorer, Sicherheit, Update abgelegt und mit Edge, Internet Explorer, Patchday 3.2021, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Internet Explorer 11: Sicherheitsupdate (9. März 2021)

  1. chris sagt:

    …er wird jetzt schon auf einigen seiten als unsicher eingestuft
    und deshalb nicht mehr akzeptiert…demzuf0lge ist der IE 11 trotz update nicht mehr einsetzbar für den „normalen“ gebrauch -tschüss IE!!!

  2. DiWÜ sagt:

    Hier läßt sich ein weiteres Update für den Microsoft Edge finden, welches letzte Nacht erschien.
    https://www.microsoft.com/de-de/edge/business/download

  3. Trillian sagt:

    Moin Herr Born,

    thx für die Infos! KB5000800 hatte ich doch glatt übersehen. Nicht das ich den IE 11 einsetze, aber bezüglich der Security Updates sollte er sich dann doch auf dem neuesten Stand befinden.

  4. Steter Tropfen sagt:

    Verständnisfrage: Lässt sich KB5000800 denn auf Systemen ohne ESU installieren? Wenn nicht und O’Patch seinen diesbezüglichen Fix aus dem Kostenlos-Angebot rausnimmt, dann stünden dessen Anwender ja nun im Regen.

  5. servernoob sagt:

    hier kommt es bei server 2012 r2 x64 deutsch nicht das kb5000800

    nur das kb5000848 kam im maerz 2021

    was ist da los? ist das ein spezialupdate irgendwie? normal default ueber windowsupdates (sconfig, 6, all updates) sichtbar?

    hat das evtl mit noch fehlenden aktivierungen des server 2012 r2 frisch aufgesetzt zu tun?

    gibts manche updates erst bei vollzogener aktivierung? andere updates kommen jedenfalls durch, april 2021 updates usw.

Schreibe einen Kommentar zu PRISM Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.