Drei kritische Patches für Internet Explorer

Eine der Lücken betrifft laut Microsoft die "Navigationsmethoden bei domänenübergreifender Kommunikation". Die Lücke nutzte zuletzt der Trojaner Download.Ject alias Scob. Ein entsprechendes Tool zur Entfernung des Trojaners hat Microsoft bereits Mitte Juli zum Download bereit gestellt.

Ein Angreifer kann diese Lücke ausnutzen, indem er Webseiten erstellt, die potenziell die Ausführung von Code von Remote-Standorten aus ermöglichen, sobald ein Benutzer eine solche Website besucht. Ein Angreifer dem dies gelingt ist in der Lage bösartigen Code im Sicherheitskontext der lokalen Zone des Internet Explorers ausführen.

Die zweite Lücke wird als "Ungültiger BMP-Dateipufferüberlauf" beschrieben. Bei der Verarbeitung von BMP-Bildformaten kann ein Pufferüberlauf auf betroffenen Systemen ebenfalls die Remote-Ausführung von Code ermöglichen.

Ähnlich betroffen sind GIF-Dateien ("Ungültige Double Free-Bedingung für GIF-Dateien") bei denen während der Analyse und Bearbeitung ein Pufferüberlauf ebenso die Remote-Ausführung von Code erlaubt.

Für alle drei Lücken verweist Microsoft darauf, dass wenn ein Benutzer mit Administratorrechten angemeldet ist, ein Angreifer die vollständige Kontrolle über ein betroffenes System erlangen kann. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht laut Microsoft ein geringeres Risiko. Microsoft empfiehlt die sofortige Installation des Updates und stuft die Lecks als "kritisch" ein. Detaillierte Informationen über die Sicherheitslücken sowie die Patches zum Download finden Sie hier.

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf 200 Seiten in unserem aktuellen tecCHANNEL-Compact "Sicherheit", das Sie online versandkostenfrei für 9,90 Euro bestellen können. tecCHANNEL-Compact gibt es auch im Abo - Sie sparen dabei 1,50 Euro pro Ausgabe. Ältere Compact-Ausgaben erhalten Sie in unserem Premium-Bereich im Übrigen kostenlos. (fkh)