Sicherheits-Update nächste Woche
Exploit-Code für IE-Lücke veröffentlicht
Alle Versionen des Internet Explorer, von 6 bis 11, sind anfällig für Angriffe auf eine Schwachstelle, die noch nicht durch ein Sicherheits-Update beseitigt ist. Die bereits Mitte September öffentlich bekannt gemachte Lücke wird bereits seit Wochen für gezielte Angriffe ausgenutzt. Inzwischen hat Rapid7 ein Metasploit-Modul bereitgestellt, das Exploit-Code für diese Lücke enthält. Prinzipiell kann sich nun also Jedermann präparierte Web-Seiten basteln, um IE-Nutzer und deren Rechner mit Malware zu verseuchen.
Somit ist es nur noch eine Frage weniger Tage, bis passender Exploit-Code in gängige Angriffsbaukästen integriert ist. Das Metasploit-Modul bietet Code für Angriffe auf Windows 7 mit Internet Explorer 9. Voraussetzung ist allerdings, dass Microsoft Office 2007 oder 2010 installiert ist, denn der Exploit benötigt die Programmbibliothek hxds.dll (Help Data Services) aus dem Office-Paket. Wer nur die kostenlosen Viewer für Word-, Excel- und Powerpoint-Dateien installiert hat, ist derzeit nicht gefährdet.
Das Metasploit-Modul basiert auf einer Analyse der für gezielte Angriffe genutzten Code-Teile. Diese Angriffe gelten typischerweise Unternehmen und Behörden, bei denen ein installiertes Office-Paket zu erwarten ist. Angepasste Exploit-Varianten, die auch mit anderen IE-Versionen funktionieren, dürften nicht mehr lange auf sich warten lassen. Deshalb sollten Nutzer des IE umgehend Microsofts Fix-it-Lösung anwenden, um diesen Angriffsvektor zu blockieren.
Am 8. Oktober ist wieder Microsoft Patch Day. Microsoft wird dann voraussichtlich ein umfassendes Sicherheits-Update für alle IE-Versionen bereitstellen. (PC Welt/mje)