Vorläufiger Fix für Exploit im Internet Explorer

Update Ferdinand Thommes
22 Kommentare

Für die gefährliche Lücke in den Versionen 6 bis 8 des Internet Explorer, über die wir vor einigen Tagen berichteten, hat Microsoft gestern einen temporären Fix zur Verfügung gestellt, wie im Sicherheits-Blog der Firma nachzulesen ist.

Der Zero-Day-Exploit unter CVE-2012-4792 ist als gefährlich eingestuft und wird mittlerweile bereits aktiv ausgenutzt. Auch Metasploit hat ein Modul für Penetrationstests online gestellt.

Laut Microsoft ist die jetzt angebotene „Fix-it“-Lösung dazu gedacht, die Angriffsfläche des Exploits in den betroffenen Versionen des Internet Explorers zu verkleinern. Der Fix nimmt bei jedem Start des Internet Explorers eine kleine Änderung in der Datei mshtml.dll vor, die dafür sorgt, dass die Funktion mshtml!CElement::FindDefaultElem immer NULL zurückgibt. Dies sorgt im Fall des Vorhandenseins des Exploits für einen abgesicherten Absturz des Internet Explorers anstelle der Ausführung von Schadcode.

Durch die Änderung an der Bibliothek kann sich der Start des IE leicht verzögern. Der Fix soll keine Wechselwirkung mit dem demnächst erwarteten Sicherheitspatch haben, der die Lücke endgültig schließt. Trotzdem stellt Microsoft auch ein Uninstall-Werkzeug zur Verfügung.

Da besonders Firmen wegen des erhöhten Aufwands beim Upgrade oft noch auf ältere Browser-Versionen setzen, weist der Blogeintrag noch auf den Knowledgebase-Artikel 2794220 hin, wo unter anderem beschrieben wird, wie ein solcher Fix über viele Rechner automatisiert verteilt werden kann.

Der Fix als auch das Werkzeug zum Entfernen bei Veröffentlichung des offiziellen Patch stehen im Sicherheits-Blog zum Herunterladen bereit. Die sicherste Lösung ist allerdings ein Upgrade auf die nicht betroffenen Versionen 9 und 10 des Browsers.

Update

Wie jetzt bekannt wurde, lässt sich der provisorische Patch umgehen. Sicherheitsexperten der Firma Exodus Intelligence haben den Microsoft-Patch innerhalb von 24 Stunden ausgehebelt, wie Peter Vreugdenhil im Firmenblog schreibt. Laut Aussagen eines Firmenmanagers habe Microsoft es verabsäumt, alle Wege zu blockieren, die ein Ausnutzen der Lücke erlauben. Die Lücke wird nach jetzigem stand auch am kommenden Dienstag, dem ersten Microsoft Patchday des neuen Jahres, nicht geschlossen werden. Also bleibt Nutzern von Internet Explorer inklusive Version 8 das Update auf IE 9 oder 10 oder die Installation eines alternativen Browsers zu ihrer Sicherheit.