Am Puls von Microsoft

Sicherheitslücke im Internet Explorer wird zum nächsten Patchday gefixt

Sicherheitslücke im Internet Explorer wird zum nächsten Patchday gefixt

Übers Wochenende hat Microsoft Informationen zu einer neu entdeckten Schwachstelle im Internet Explorer veröffentlicht. Sie betrifft die Versionen 9, 10 und 11 und damit die Betriebssysteme ab Windows 7 aufwärts sowie die entsprechenden Server-Versionen. Es finden laut Microsoft bereits Angriffe statt, ein Patch soll aber dennoch erst zum kommenden Patchday zur Verfügung gestellt werden.

Windows Server 2008, 2012, 2016 und 2019 sind weniger anfällig, weil der Internet Explorer hier in der verstärkten Sicherheitskonfiguration ausgeführt wird. Nur Seiten, die als vertrauenswürdig eingestuft sind, können in diesem Fall einen Angriff ausführen. In den Client-Versionen von Windows genügt der Aufruf einer bösartig manipulierten Webseite, um sich mit Schadcode zu infizieren. Der Angreifer kann über die Webseite dann Remote Code auf dem System ausführen – und zwar mit den selben Rechten wie der aktuell angemeldete Nutzer. Man sollte heutzutage ja niemandem mehr erklären müssen, warum es eine schlechte Idee ist,  standardmäßig mit Adminrechten zu arbeiten – in diesem Fall wäre über die Schwachstelle eine komplette feindliche Übernahme des Systems möglich.

Die Lücke steckt in der Bibliothek jscript.dll, die vom Internet Explorer standardmäßig nicht mehr verwendet wird. Ab Version 9 wird per Default auf die Jscript9.dll zugegriffen – es sei denn, eine Webseite fordert die alte Bibliothek explizit an.

Als Workaround kann man bis zur Veröffentlichung eines Updates den Zugriff auf die jscript.dll unterbinden, indem man die Besitzrechte an der Datei übernimmt und den Zugriff für alle Benutzer verbietet. In der entsprechenden Sicherheitsempfehlung hat Microsoft die Kommandozeilenbefehle veröffentlicht, mit denen sich der empfohlene Workaround umsetzen lässt.

Bei wirklich kritischen Sicherheitslücken hat Microsoft in der Vergangenheit auch mal außerplanmäßig Sicherheitsupdates veröffentlicht. Da das hier nicht passiert, wird das Risiko offenbar als überschaubar eingeschätzt. Es wird wohl die erste Sicherheitslücke sein, die unter Windows 7 nicht mehr geschlossen wird – es sei denn, man nimmt den erweiterten und damit kostenpflichtigen Support in Anspruch. Wer Windows 7 zu Hause noch im Einsatz hat, sollte also zumindest den empfohlenen Workaround umsetzen.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige