Internet-Explorer-Notfall-Patch schließt 8 Lecks

Ein Angreifer kann über eine manipulierte Web-Seite auf einem angegriffenen System beliebigen Code ausführen. Microsoft rät, den Patch umgehend aufzuspielen. Betroffen von den Schwachstellen sind neben dem Internet Explorer auch Anwendungen, die die Dateibibliothek “mshtml.dll” zur Anzeige von HTML-Dateien verwenden und Active Scripting erlauben. Microsoft weist aber darauf hin, dass das Update für den Internet Explorer das Problem auch bei allen anderen Applikationen behebt.

Die für die Hackerangriffe benutzte Lücke war Microsoft nach eigenen Angaben schon seit mindestens vier Monaten bekannt. Bei Untersuchungen zu den Angriffen aus China habe der Hersteller, dass es sich um eine Anfang September vertraulich gemeldete Schwachstelle handelt. Neben dieser inzwischen öffentlich bekannten Schwachstelle schließt Microsoft wie angekündigt auch sieben unveröffentlichte.

“Microsoft registriert weiterhin nur wenige und zielgerichtete Angriffe gegen den Internet Explorer 6”, heißt es vom Hersteller. “Trotzdem empfiehlt Microsoft seinen Kunden, das Sicherheitsupdate so schnell wie möglich zu installieren, um sich gegen die bekannten Bedrohungen zu schützen.”

Trend Micro und Symantec haben wischenzeitlich vor neuen Schädlinge für die jetzt geschlossene IE-Lücke gewarnt. Ein neuer Exploit, den Symantec als “Trojan.Malscript” bezeichnet, werde auf Hunderten Websites gehostet, so Symantec. Forscher von Trend Micro haben die Malware als eine neue Variante von “JS-DLoader” identifiziert.