Microsoft hat die Ende vergangener Woche bekannt gewordene Zero-Day-Lücke in seinem Browser Internet Explorer bestätigt. Einer Sicherheitswarnung zufolge nutzen Hacker die Schwachstelle schon für zielgerichtete Angriffe. Die Anfälligkeit steckt aber nicht nur in Internet Explorer 7 und 8, sondern auch in IE9 unter Windows 7. Nur Internet Explorer 10 ist nicht betroffen.
„Ein Angreifer könnte eine speziell gestaltete Website anbieten, die die Anfälligkeit durch Internet Explorer ausnutzt, und einen Anwender dazu verleiten, diese Seite zu besuchen“, schreibt Microsoft im Advisory 2757760. Ein Sicherheitsupdate sei in Arbeit und werde möglicherweise auch außerplanmäßig bereitgestellt. Der nächste reguläre Patchday findet am 9. Oktober statt.
Nutzer sollen bis zur Veröffentlichung des Patches das Enhanced Mitigation Experience Toolkit (EMET) 3.0 installieren, das vor den Folgen eines Angriffs schützen soll. Darüber hinaus empfiehlt Microsoft, die Sicherheitsstufe für das Internet und das lokale Intranet auf „hoch“ zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Dadurch werde jedoch die Nutzbarkeit bestimmter Websites eingeschränkt.
Trotz der von Microsoft vorgeschlagenen Behelfslösungen rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorübergehend von der Nutzung des Internet Explorer ab. Nutzer sollten stattdessen einen alternativen Browser verwenden. „Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist“, schreibt das BSI in einer Pressemitteilung.
Laut Jaime Blasco, Sicherheitsforscher bei AlienVault Labs, wird der Trojaner „Poison Ivy“ derzeit über die IE-Lücke verbreitet. Dabei handle es sich um dieselbe Schadsoftware, die Hacker über die Ende August aufgetauchte Zero-Day-Lücke in Java SE 7 verteilten.
[mit Material von Elinor Mills, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Recall hilft beim Auffinden von beliebigen Dateien und Inhalten. Die neue Funktion führt Microsoft zusammen…
Es tritt auch unter Windows Server auf. Seit Installation der April-Patches treten Fehlermeldungen bei VPN-Verbindungen…
Das neue Release soll es allen Mitarbeitenden möglich machen, zur Ausgestaltung der IT beizutragen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
