Schwere Sicherheitslücke im Internet Explorer

Das hat Microsoft gestern Abend in einem Security Advisory eingeräumt. Der mit Windows 8 ausgelieferte Internet Explorer 10 ist nicht betroffen. Die Schwachstelle ist als besonders gefährlich einzustufen, da es bereits Exploit-Code "in the wild" in Form eines Moduls für das Malware-Framework "Metasploit" gibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher, möglichst so lange die Finger vom IE zu lassen, bis Microsoft einen Patch bereitgestellt hat.

Leider ist derzeit noch nicht absehbar, wann das der Fall sein wird. Angesichts der Dringlichkeit dürfte Microsoft sich bemühen, die Sicherheitslücke (technisch eine Use-after-free-Schwachstelle) schon vor dem nächsten regulären Patch Day am zweiten Oktoberdienstag zu schließen. Im Advisory hat der Hersteller leider nur ein paar dürftige Workarounds parat, die für viele Nutzer nicht praktikabel sein dürften, etwa das Ausschalten von ActiveX und Active Scripting oder das Aktivieren eine Warnmeldung vor jeder Skript-Ausführung.

Am sinnigsten erscheint noch die Installation der Malware-Bremse "EMET" (Enhanced Mitigation Experience Toolkit), die für bestimmte Prozesse Schutzfunktionen zuschaltet. Nach Aufspielen des Programms muss man dort den Internet Explorer ("iexplore.exe") explizit als zu schützend hinzufügen. (Computerwoche/mec)