BSI warnt vor Lücke im Internet Explorer

“Ein Angreifer könnte eine speziell gestaltete Website anbieten, die die Anfälligkeit durch Internet Explorer ausnutzt, und einen Anwender dazu verleiten, diese Seite zu besuchen”, schreibt Microsoft in einem Advisory. Ein Sicherheitsupdate sei in Arbeit und werde möglicherweise auch außerplanmäßig bereitgestellt. Auch das ist ein Zeichen dafür, dass die Schwachstelle offenbar zu kritisch ist, um den nächsten regulären Patchday am 9. Oktober abzuwarten.

Microsoft rät Nutzern dringend, bis zur Veröffentlichung des Patches das Enhanced Mitigation Experience Toolkit (EMET) zu installieren, das vor den Folgen eines Angriffs schützen soll. Darüber hinaus empfiehlt der Konzern, die Sicherheitsstufe für das Internet und das lokale Intranet auf “hoch” zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Das hat allerdings Nebenwirkungen: Die Nutzbarkeit bestimmter Webseiten werde dadurch eingeschränkt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält Microsofts Behelfslösung offenbar für nicht sicher genug. Die Experten der deutschen Behörde raten vorübergehend von der Nutzung des Internet Explorer ab. Nutzer sollten stattdessen einen alternativen Browser verwenden. “Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächige Ausnutzung rasch zu rechnen ist”, schreibt das BSI in einer Mitteilung. “Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden.” Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung. Der Internet Explorer 10 ist nicht betroffen.

Auch Sicherheitsexperte Tod Beardsley von der Firma Rapid7 rät trotz der Übergangslösung von Microsoft zu Vorsicht. “Es scheint keine komplette Sicherheit zu bieten”, sagte er gegenüber der Nachrichtenagentur Reuters. Rapid7 hat am Montag eine Software veröffentlicht, mit der Firmen einen Angriff auf ihr Netzwerk simulieren können, um so herauszufinden, ob ihr Netzwerk anfällig ist für diese spezifische Schwachstelle.

Marc Maiffret, CTO der Sicherheitsfirma BeyondTrust ergänzt – ebenfalls gegenüber Reuters – dass es für einige Firmen und Privatanwender nicht durchführbar sein könnte, das EMET zu installieren. Er spricht von “erwiesenen Fällen” in denen sich die Sicherheitssoftware als inkompatibel zu existierenden Netzwerken erwiesen habe.

Laut Jaime Blasco, Sicherheitsforscher bei AlienVault Labs, wird über die IE-Lücke derzeit der Trojaner “Poison Ivy” verbreitet. Dabei handele es sich um dieselbe Schadsoftware, die Hacker über die Ende August aufgetauchte Zero-Day-Lücke in Java SE 7 verteilt hatten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.