Microsoft bringt Fix für Zero-Day-Lücke in Internet Explorer – auch für Windows XP

Microsoft hat gestern Abend ein außerplanmäßiges Sicherheitsupdate für Internet Explorer veröffentlicht. Es schließt die seit wenigen Tagen bekannte Zero-Day-Lücke in den Versionen 6, 7, 8, 9, 10 und 11. Der Patch steht sogar für Windows XP zur Verfügung. Damit vollzieht das Unternehmen aus Redmond eine Kehrtwende, da es den Support für das 2001 eingeführte Betriebssystem am 8. April offiziell endgültig eingestellt hatte.

„Die meisten Kunden haben automatische Updates aktiviert und müssen nichts unternehmen, da der Schutz automatisch heruntergeladen und installiert wird“, schreibt Microsoft-Sprecher Dustin Childs im Blog des Security Response Center. „Wir haben entschieden, ein Sicherheitsupdate für Windows-XP-Nutzer bereitzustellen. Windows XP wird nicht länger von Microsoft unterstützt und wir ermutigen weiterhin unsere Kunden, auf ein modernes Betriebssystem wie Windows 7 oder 8.1 umzusteigen.“

Microsoft hatte am vergangenen Samstag auf die Schwachstelle hingewiesen. Sie wurde laut FireEye mindestens seit Anfang April für zielgerichtete Angriffe auf Nutzer von IE 9, 10 und 11 benutzt. Der Exploit, der über eine Website des syrischen Justizministeriums verbreitet wurde, ist in der Lage, die Sicherheitsfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) und Adress Space Layout Randomization (ASLR) zu umgehen.

Generell lässt sich die Lücke mithilfe einer manipulierten Website ausnutzen. Microsoft zufolge muss ein Angreifer sein Opfer lediglich über einen in eine E-Mail oder Chat-Nachricht eingebetteten Link auf die Seite locken. Anschließend kann er beliebigen Schadcode einschleusen und auf einem betroffenen System ausführen.

Die Anfälligkeit hatte das Bundesamt für Sicherheit in der Informationstechnik veranlasst, vor der Nutzung des Microsoft-Browsers zu warnen. Ähnliche Empfehlungen sprachen auch Behörden in Großbritannien und den USA aus.

Den Fix für Windows XP dürfte Microsoft in erster Linie für die Kunden entwickelt haben, die Redmond für eine Supportverlängerung bezahlen. Unter anderem geben die Regierungen Großbritanniens und der Niederlande Millionenbeträge für weitere Sicherheitsudpates für Windows XP aus. Zudem soll Microsoft erst kurz vor dem 8. April die Preise für den weiteren Windows-XP-Support gesenkt haben, um das Programm für mehr Kunden erschwinglich zu machen. Laut Net Applications griffen im April noch rund 26,3 Prozent aller Anwender weltweit mit Windows XP auf das Internet zu.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de