Sicherheitslücke im Internet Explorer wird zum nächsten Patchday gefixt
- Martin Geuß · 20. Januar 2020
Übers Wochenende hat Microsoft Informationen zu einer neu entdeckten Schwachstelle im Internet Explorer veröffentlicht. Sie betrifft die Versionen 9, 10 und 11 und damit die Betriebssysteme ab Windows 7 aufwärts sowie die entsprechenden Server-Versionen. Es finden laut Microsoft bereits Angriffe statt, ein Patch soll aber dennoch erst zum kommenden Patchday zur Verfügung gestellt werden.
Windows Server 2008, 2012, 2016 und 2019 sind weniger anfällig, weil der Internet Explorer hier in der verstärkten Sicherheitskonfiguration ausgeführt wird. Nur Seiten, die als vertrauenswürdig eingestuft sind, können in diesem Fall einen Angriff ausführen. In den Client-Versionen von Windows genügt der Aufruf einer bösartig manipulierten Webseite, um sich mit Schadcode zu infizieren. Der Angreifer kann über die Webseite dann Remote Code auf dem System ausführen – und zwar mit den selben Rechten wie der aktuell angemeldete Nutzer. Man sollte heutzutage ja niemandem mehr erklären müssen, warum es eine schlechte Idee ist, standardmäßig mit Adminrechten zu arbeiten – in diesem Fall wäre über die Schwachstelle eine komplette feindliche Übernahme des Systems möglich.
Die Lücke steckt in der Bibliothek jscript.dll, die vom Internet Explorer standardmäßig nicht mehr verwendet wird. Ab Version 9 wird per Default auf die Jscript9.dll zugegriffen – es sei denn, eine Webseite fordert die alte Bibliothek explizit an.
Als Workaround kann man bis zur Veröffentlichung eines Updates den Zugriff auf die jscript.dll unterbinden, indem man die Besitzrechte an der Datei übernimmt und den Zugriff für alle Benutzer verbietet. In der entsprechenden Sicherheitsempfehlung hat Microsoft die Kommandozeilenbefehle veröffentlicht, mit denen sich der empfohlene Workaround umsetzen lässt.
Bei wirklich kritischen Sicherheitslücken hat Microsoft in der Vergangenheit auch mal außerplanmäßig Sicherheitsupdates veröffentlicht. Da das hier nicht passiert, wird das Risiko offenbar als überschaubar eingeschätzt. Es wird wohl die erste Sicherheitslücke sein, die unter Windows 7 nicht mehr geschlossen wird – es sei denn, man nimmt den erweiterten und damit kostenpflichtigen Support in Anspruch. Wer Windows 7 zu Hause noch im Einsatz hat, sollte also zumindest den empfohlenen Workaround umsetzen.
Kommentare
Muss ich nun die Kommandozeilenbefehle ausführen oder nicht?
*War bislang nur der lizensierten Version vorbehalten, aber seit Free kann jeder dieses überaus nützliche Feature nutzen.
Im Übrigen - ich hatte kürzlich einen neuen Rechner mit 10Pro in Betrieb genommen. Ich war erschrocken und enttäuscht darüber das AdobeFlash in Edge per default aktiv war.
Doch, leider genau das muss den Leuten immer wieder erklärt werden und Microsoft trägt nicht gerade vorbildlich dazu bei (Installation, Einrichtung etc.) dieses als die normale/bessere Vorgehensweise anzupreisen. Es ist bei mir im privaten Umfeld unverändert so, sobald ich dieses Thema (Adminrechte) anspreche, dass die Augen sehr groß werden und kaum Verständnis für die Problematik vorhanden ist. Und hier sage ich wieder und immer wieder: Wir dürfen von uns "Nerds" nicht auf die Allgemeinheit schließen.
In Einstellungen / Apps / Optionale Funktionen lässt sich der Internet Explorer inzwischen auch deinstallieren oder installieren.
@Admin
Naja, das wertvollste sind die Userdaten, und die sind ohne Adminrechte genauso gefährdet.
Mit Adminrechten kann man sich vor allem besser verstecken und noch andere Konten angreifen, falls vorhanden. In vielen Heimanwendungsfällen ist das aber nicht so relevant.
MS hat sich bekanntlich seit Vista die UAC Lösung ausgedacht, eine Mischung aus Bequemlichkeit und Sicherheit.
Das hängt mit dem Cache des Internet Explorer zusammen, der ohne mein Zutun benutzerübergreifend konfiguriert ist.
Komplett den IE deinstallieren werde ich nicht tun, da ich nicht weis wie tief der IE mit dem Betriebssystem
verflochten ist.