Sicherheits-Update nächste Woche

Exploit-Code für IE-Lücke veröffentlicht

Für die im letzten Monat bekannt gewordene Sicherheitslücke im Internet Explorer ist inzwischen ein Exploit verfügbar, der es Jedermann ermöglicht die Schwachstelle auszunutzen. Microsoft will beim Patch Day in der kommenden Woche ein Update bereit stellen, um die Lücke zu schließen.

Alle Versionen des Internet Explorer, von 6 bis 11, sind anfällig für Angriffe auf eine Schwachstelle, die noch nicht durch ein Sicherheits-Update beseitigt ist. Die bereits Mitte September öffentlich bekannt gemachte Lücke wird bereits seit Wochen für gezielte Angriffe ausgenutzt. Inzwischen hat Rapid7 ein Metasploit-Modul bereitgestellt, das Exploit-Code für diese Lücke enthält. Prinzipiell kann sich nun also Jedermann präparierte Web-Seiten basteln, um IE-Nutzer und deren Rechner mit Malware zu verseuchen.

Somit ist es nur noch eine Frage weniger Tage, bis passender Exploit-Code in gängige Angriffsbaukästen integriert ist. Das Metasploit-Modul bietet Code für Angriffe auf Windows 7 mit Internet Explorer 9. Voraussetzung ist allerdings, dass Microsoft Office 2007 oder 2010 installiert ist, denn der Exploit benötigt die Programmbibliothek hxds.dll (Help Data Services) aus dem Office-Paket. Wer nur die kostenlosen Viewer für Word-, Excel- und Powerpoint-Dateien installiert hat, ist derzeit nicht gefährdet.

Das Metasploit-Modul basiert auf einer Analyse der für gezielte Angriffe genutzten Code-Teile. Diese Angriffe gelten typischerweise Unternehmen und Behörden, bei denen ein installiertes Office-Paket zu erwarten ist. Angepasste Exploit-Varianten, die auch mit anderen IE-Versionen funktionieren, dürften nicht mehr lange auf sich warten lassen. Deshalb sollten Nutzer des IE umgehend Microsofts Fix-it-Lösung anwenden, um diesen Angriffsvektor zu blockieren.

Am 8. Oktober ist wieder Microsoft Patch Day. Microsoft wird dann voraussichtlich ein umfassendes Sicherheits-Update für alle IE-Versionen bereitstellen. (PC Welt/mje)