Microsoft bringt “Außer-der-Reihe-Update”
Microsoft will heute gegen 19 Uhr ein “Außer-der-Reihe-Update” zur Verfügung stellen. Es behebe eine Schwachstelle, die im Internet Explorer 6 und 7 die Ausführung von Remotecode ermöglicht.
Die Softwareaktualisierung kann über Microsoft Update bezogen werden. Auf Systemen, auf denen die Auto-Update-Funktion aktiviert ist, wird es selbstständig installiert. Weiterhin empfiehlt Microsoft Nutzern von Internet Explorer 6 und 7, auf die Version 8 des Browsers zu wechseln, da dieser ein deutlich höheres Sicherheitsniveau bietet.
Die auch von silicon.de beschriebenen Schwachstelle wurde von Microsoft in seiner Sicherheitsempfehlung 981374 benannt. Demnach existiert die Lücke aufgrund eines ungültigen Zeigerverweises bei der Verwendung von Internet Explorer. Unter bestimmten Bedingungen sei es möglich, auf den ungültigen Zeigeverweis zuzugreifen, nachdem ein Objekt gelöscht worden ist. Wenn bei einem speziell gestalteten Angriff der Internet Explorer versucht, auf ein freigegebenes Objekt zuzugreifen, könne dies Remotecode-Ausführung ermöglichen.
Microsoft seien bereits Fälle bekannt, bei denen versucht wurde, diese Sicherheitsanfälligkeit auszunutzen. Weitere Informationen dazu finden sich im Microsoft Security Response Center Blog (MSRC) sowie im Advance Notification Service (ANS).
Das Update schließt darüber hinaus neun Lücken in verschiedenen Versionen des Internet Explorer, die vertraulich gemeldet wurden und daher noch nicht öffentlich bekannt sind.