Microsofts Internet Explorer 8 weist seit Oktober 2013 eine kritische Sicherheitslücke auf, die bis heute noch nicht geschlossen wurde. Das geht aus einem neuen Bericht der Zero-Day Initiative (ZDI) des Sicherheitsunternehmens TippingPoint hervor. Die ZDI-Richtlinien sehen vor, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.
Dem Report zufolge erlaubt die Anfälligkeit Angreifern, Schadcode im Internet Explorer 8 auszuführen. Dazu genügt es, dass der Nutzer eine manipulierte Website aufruft.
Obwohl Microsoft der Fehler seit Oktober bekannt ist, hat es ihn bisher nicht behoben. Ob dies daran liegt, dass das Problem so schwierig zu lösen ist, oder damit zusammenhängt, dass IE 8 die letzte Browserversion für das nicht mehr offiziell unterstützte Windows XP ist, wollte Microsoft nicht sagen.
Der Softwarekonzern teilte lediglich mit, dass er bisher keinen aktiven Exploit für die Zero-Day-Lücke registriert habe, also die Schwachstelle noch nicht ausgenutzt werde. „Wir entwickeln und testen jeden Sicherheitsfix so schnell wie möglich. Einige Fixes sind komplexer als andere. Wir müssen jeden einzelnen mit einer Vielzahl von Programmen und Konfigurationen testen“, erklärte ein Microsoft-Sprecher.
Es ist nicht die erste Zero-Day-Lücke in IE 8 seit dem Support-Ende für Windows XP im April. Kurz nachdem Microsoft den offiziellen Support für das Betriebssystem eingestellt hatte, zwang ein Zero-Day-Exploit es, nochmals einzugreifen und einen Notfall-Patch zu veröffentlichen.
Außer das Betriebssystem zu wechseln, empfiehlt Microsoft IE-8-Nutzern, die Sicherheitsstufe für die Internet-Zone auf „hoch“ zu stellen, um ActiveX Controls und Active Scripting zu blockieren. Zudem sollten Anwender Internet Explorer so konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Darüber hinaus rät Microsoft zur Installation des Enhanced Mitigation Experience Toolkit (EMET).
[mit Material von Seth Rosenblatt, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
