Microsoft: Fix für kritische IE-Lücke kommt in den nächsten Tagen

Allerdings wird der Softwarekonzern anfänglich kein Sicherheitsupdate, sondern nur ein sogenanntes Fix-it-Tool bereitstellen. Es soll Nutzer des Microsoft-Browsers trotzdem genauso gut schützen wie ein vollwertiger Patch.

“Obwohl wir nur wenige Versuche beobachtet haben, den Fehler auszunutzen, wovon nur eine sehr begrenzte Zahl von Nutzern betroffen ist, leiten wir diese proaktive Maßnahme ein”, schreibt Yunsun Wee, Direktor für Trustworthy Computing bei Microsoft, in einem Blogeintrag. Ziel sei es, sicherzustellen, dass Kunden geschützt seien und das Internet gefahrlos nutzen könnten.

Bei dem Fix handle es sich um eine mit einem Klick anzuwendende einfache Lösung, die von jedem IE-Nutzer installiert werden könne, ergänzte der Manager. Sie werde vollständigen Schutz vor Angriffen auf die Zero-Day-Lücke bieten, bis ein Update zur Verfügung steht. Das Fix-it-Tool habe keinen Einfluss auf die Nutzung von Websites und erfordere auch keinen Neustart.

In dem ursprünglichen Advisory verweist Microsoft auf das Enhanced Mitigation Experience Toolkit, das vor den Folgen eines Exploits schützen soll. Es schließt die Lücke zwar nicht, schafft aber zusätzliche Hürden, die Angreifer überwinden müssen, um Schadcode auf ein System einschleusen zu können. Andere vorgeschlagene Maßnahmen wie die Deaktivierung von ActiveX Controls und Active Scirpting können zu Problemen bei der Darstellung von Websites führen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das von der Sicherheitslücke ausgehende Risiko offenbar höher ein als Microsoft. Da der zugehörige Angriffscode frei im Internet verfügbar sei, sei auch mit einer “breitflächigen Ausnutzung rasch zu rechnen”, teilte die Behörde mit. Sie empfiehlt, vorübergehend alternative Browser wie Mozilla Firefox, Google Chrome oder Opera zu verwenden.

[mit Material von Steven Musil, News.com]