Sicherheitslücke im Internet Explorer wird zum nächsten Patchday gefixt

Sicherheitslücke im Internet Explorer wird zum nächsten Patchday gefixt

Übers Wochenende hat Microsoft Informationen zu einer neu entdeckten Schwachstelle im Internet Explorer veröffentlicht. Sie betrifft die Versionen 9, 10 und 11 und damit die Betriebssysteme ab Windows 7 aufwärts sowie die entsprechenden Server-Versionen. Es finden laut Microsoft bereits Angriffe statt, ein Patch soll aber dennoch erst zum kommenden Patchday zur Verfügung gestellt werden.

Windows Server 2008, 2012, 2016 und 2019 sind weniger anfällig, weil der Internet Explorer hier in der verstärkten Sicherheitskonfiguration ausgeführt wird. Nur Seiten, die als vertrauenswürdig eingestuft sind, können in diesem Fall einen Angriff ausführen. In den Client-Versionen von Windows genügt der Aufruf einer bösartig manipulierten Webseite, um sich mit Schadcode zu infizieren. Der Angreifer kann über die Webseite dann Remote Code auf dem System ausführen – und zwar mit den selben Rechten wie der aktuell angemeldete Nutzer. Man sollte heutzutage ja niemandem mehr erklären müssen, warum es eine schlechte Idee ist,  standardmäßig mit Adminrechten zu arbeiten – in diesem Fall wäre über die Schwachstelle eine komplette feindliche Übernahme des Systems möglich.

Die Lücke steckt in der Bibliothek jscript.dll, die vom Internet Explorer standardmäßig nicht mehr verwendet wird. Ab Version 9 wird per Default auf die Jscript9.dll zugegriffen – es sei denn, eine Webseite fordert die alte Bibliothek explizit an.

Als Workaround kann man bis zur Veröffentlichung eines Updates den Zugriff auf die jscript.dll unterbinden, indem man die Besitzrechte an der Datei übernimmt und den Zugriff für alle Benutzer verbietet. In der entsprechenden Sicherheitsempfehlung hat Microsoft die Kommandozeilenbefehle veröffentlicht, mit denen sich der empfohlene Workaround umsetzen lässt.

Bei wirklich kritischen Sicherheitslücken hat Microsoft in der Vergangenheit auch mal außerplanmäßig Sicherheitsupdates veröffentlicht. Da das hier nicht passiert, wird das Risiko offenbar als überschaubar eingeschätzt. Es wird wohl die erste Sicherheitslücke sein, die unter Windows 7 nicht mehr geschlossen wird – es sei denn, man nimmt den erweiterten und damit kostenpflichtigen Support in Anspruch. Wer Windows 7 zu Hause noch im Einsatz hat, sollte also zumindest den empfohlenen Workaround umsetzen.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. Der Internet Explorer ist ja bei meinem Windows 10 (1909, 18363.592) vorinstalliert, wird aber nicht genutzt (Standard-Browser ist Firefox).
    Muss ich nun die Kommandozeilenbefehle ausführen oder nicht?
    Wenn du den IE nicht nutzt, dann brauchst du auch nichts zu tun. Und, selbst wenn du ihn nutzt, und die Sicherheitseinstellungen auf Standard hast, ist es sehr unwahrscheinlich, dass dir etwas passiert.
    Sandboxie installieren, eine Sandbox für den IE definieren, Internet verbieten, Rechte einschränken und "iexplore.exe" zu den forcierten Programmen* hinzufügen.
    *War bislang nur der lizensierten Version vorbehalten, aber seit Free kann jeder dieses überaus nützliche Feature nutzen.
    Wenn man den IE eh nicht mehr nutzt - Systemsteuerung - Programme und Futures - Windows Futures aktivieren oder deaktivieren und beim IE den Haken entfernen.
    Im Übrigen - ich hatte kürzlich einen neuen Rechner mit 10Pro in Betrieb genommen. Ich war erschrocken und enttäuscht darüber das AdobeFlash in Edge per default aktiv war.
    "Man sollte heutzutage ja niemandem mehr erklären müssen, warum es eine schlechte Idee ist, standardmäßig mit Adminrechten zu arbeiten - in diesem Fall wäre über die Schwachstelle eine komplette feindliche Übernahme des Systems möglich."
    Doch, leider genau das muss den Leuten immer wieder erklärt werden und Microsoft trägt nicht gerade vorbildlich dazu bei (Installation, Einrichtung etc.) dieses als die normale/bessere Vorgehensweise anzupreisen. Es ist bei mir im privaten Umfeld unverändert so, sobald ich dieses Thema (Adminrechte) anspreche, dass die Augen sehr groß werden und kaum Verständnis für die Problematik vorhanden ist. Und hier sage ich wieder und immer wieder: Wir dürfen von uns "Nerds" nicht auf die Allgemeinheit schließen.
    @Setter
    In Einstellungen / Apps / Optionale Funktionen lässt sich der Internet Explorer inzwischen auch deinstallieren oder installieren.
    Wirklich deinstallieren kann man den IE nicht. Er ist Teil von Windows und vielen Programmen.
    @Admin
    Naja, das wertvollste sind die Userdaten, und die sind ohne Adminrechte genauso gefährdet.
    Mit Adminrechten kann man sich vor allem besser verstecken und noch andere Konten angreifen, falls vorhanden. In vielen Heimanwendungsfällen ist das aber nicht so relevant.
    MS hat sich bekanntlich seit Vista die UAC Lösung ausgedacht, eine Mischung aus Bequemlichkeit und Sicherheit.
    Die Ironie ist, dass auf dem System meines Rechners der Internet Explorer mit ohne Administratorberechtigung nicht startet. :D
    Das hängt mit dem Cache des Internet Explorer zusammen, der ohne mein Zutun benutzerübergreifend konfiguriert ist.
    Den Internet Explorer habe ich über Programme und Features die Startmöglichkeit entzogen.
    Komplett den IE deinstallieren werde ich nicht tun, da ich nicht weis wie tief der IE mit dem Betriebssystem
    verflochten ist.
    Wer mit dem IE noch Interseiten besucht oder damit auf Servern surft, der hat eh den Schuss nicht gehört (oder seine IT). Er ist schon lange Feature Complete und nur für alte Intranet-Sites gedacht, die nur in ihm laufen. Und wenn man auf Uralt-Windows einen Browser für das Internet braucht, nutzt man eben z. B. einen stets aktuellen Firefox oder seit kurzem sogar Edge (ab Windows 7), keinesfalls aber den IE, never ever in 2020!
Nach oben