Zero-Day-Lücke in Internet Explorer 8 seit Monaten ungepatched

Obwohl Microsoft der Fehler seit Oktober 2013 bekannt ist, hat es ihn bisher noch nicht behoben. Das könnte mit der Schwere der Anfälligkeit oder auch mit dem Support-Ende von Windows XP zusammenhängen. Die Schwachstelle erlaubt das Ausführen von Schadcode, wird aber angeblich noch nicht aktiv ausgenutzt.

Microsofts Internet Explorer 8 weist seit Oktober 2013 eine kritische Sicherheitslücke auf, die bis heute noch nicht geschlossen wurde. Das geht aus einem neuen Bericht der Zero-Day Initiative (ZDI) des Sicherheitsunternehmens TippingPoint hervor. Die ZDI-Richtlinien sehen vor, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.

Logo Internet Explorer

Dem Report zufolge erlaubt die Anfälligkeit Angreifern, Schadcode im Internet Explorer 8 auszuführen. Dazu genügt es, dass der Nutzer eine manipulierte Website aufruft.

Obwohl Microsoft der Fehler seit Oktober bekannt ist, hat es ihn bisher nicht behoben. Ob dies daran liegt, dass das Problem so schwierig zu lösen ist, oder damit zusammenhängt, dass IE 8 die letzte Browserversion für das nicht mehr offiziell unterstützte Windows XP ist, wollte Microsoft nicht sagen.

Der Softwarekonzern teilte lediglich mit, dass er bisher keinen aktiven Exploit für die Zero-Day-Lücke registriert habe, also die Schwachstelle noch nicht ausgenutzt werde. „Wir entwickeln und testen jeden Sicherheitsfix so schnell wie möglich. Einige Fixes sind komplexer als andere. Wir müssen jeden einzelnen mit einer Vielzahl von Programmen und Konfigurationen testen“, erklärte ein Microsoft-Sprecher.

Es ist nicht die erste Zero-Day-Lücke in IE 8 seit dem Support-Ende für Windows XP im April. Kurz nachdem Microsoft den offiziellen Support für das Betriebssystem eingestellt hatte, zwang ein Zero-Day-Exploit es, nochmals einzugreifen und einen Notfall-Patch zu veröffentlichen.

Außer das Betriebssystem zu wechseln, empfiehlt Microsoft IE-8-Nutzern, die Sicherheitsstufe für die Internet-Zone auf „hoch“ zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Zudem sollten Anwender Internet Explorer so konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Darüber hinaus rät Microsoft zur Installation des Enhanced Mitigation Experience Toolkit (EMET).

[mit Material von Seth Rosenblatt, News.com]

Tipp: Kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Themenseiten: Browser, Internet Explorer, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Lücke in Internet Explorer 8 seit Monaten ungepatched

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *