Microsoft veröffentlicht Notfall-Patch für Internet Explorer

Microsoft hat dazu außer der Reihe ein Advisory veröffentlicht, das auch gleich einen temporären "Fix-it"-Workaround anbietet. Die Zero-Day-Schwachstelle betrifft alle IE-Versionen von 6 bis 11. Ein vollständiger Patch soll später nachgereicht werden. Der Workaround wird nicht automatisch über Windows Update angeboten; Nutzer müssen selbst Hand anlegen und ihn manuell einspielen. Voraussetzung ist ein installiertes Security Update 2870699 (vom vergangenen Patch Tuesday am 10. September). Das Fixit 51002 "repariert" nur die 32-Bit-Versionen des IE; nach der Installation muss der Browser neu gestartet werden.

In einem TechNet-Post empfiehlt der Microsoft-Experte Dustin Childs darüber hinaus, die Sicherheitszonen für Internet und lokales Intranet auf "Hoch" zu setzen (um ActiveX-Controls und Active Scripting zu blockieren) oder vor der Ausführung von Active Scripting nachzufragen respektive Active Scripting für Internet und lokales Intranet komplett zu deaktivieren. Das könne allerdings die Usability beeinträchtigen; immerhin lassen sich vertrauenswürdige Seiten aber als Ausnahmen whitelisten.

Die Schwachstelle liegt nach Angaben von Microsoft in der Art und Weise begründet, wie der Internet Explorer auf ein im Arbeitsspeicher gelöschtes oder falsch allokiertes Objekt zugreift. Ein Angreifer könnte dabei über eine bösartig manipulierte Webseite eine Memory Corruption erzeugen und mit den Rechten des Browser-Nutzer beliebigen externen Code ausführen. (hal)