Sicherheitslücke im IE 9 und 10 vorerst gestopft

Microsoft hat für eine Sicherheitslücke, die die Versionen 9 und 10 des Internet Explorers betrifft, einen vorläufigen Patch in Form des Fix it „MSHTML Shim Workaround“ veröffentlicht. Die unter CVE-2014-0322 katalogisiert und als gefährlich eingestufte Sicherheitslücke kann zum Ausführen von Code von Außen missbraucht werden.

Die Verwundbarkeit, die Microsoft im Security Advisory 2934088 beschreibt, entsteht durch die Art und Weise, wie der Internet Explorer auf Objekte im Speicher zugreift, welche entweder bereits gelöscht oder aber falsch alloziiert (d.h. zugewiesen) wurden. Diese Lücke kann beispielsweise über eine präparierte Webseite ausgenutzt werden, auf die der Anwender gelockt wird. Für den IE 10 sind bereits erste gezielte Attacken bekannt, die diese Verwundbarkeit ausnutzen. Die Lücke ist auch unter CVE-2014-0322 katalogisiert und mit der Bewertung 9,3 als gefährlich eingestuft.

Microsoft ist noch mit der Untersuchung des Problems beschäftigt. Wenn diese abgeschlossen ist, wird das Leck entweder beim darauf folgenden Patchday oder im Rahmen eines Sicherheitsupdates außer der Reihe geschlossen. Bis dahin sind Anwender der betroffenen Versionen des Browsers angehalten, den „MSHTML Shim Workaround“ anzuwenden, der als Fix-it-Lösung per Mausklick angeboten wird. An gleicher Stelle ist es auch möglich, diese vorläufige Reparatur wieder zu entfernen.

Microsoft weist darauf hin, dass nach Einspielen des Patches während einer Sitzung der Browser eine erhöhte Speichernutzung aufweisen kann. Ein Neustart des Browsers setzt den Speicher zwar zurück, die Nutzung kann danach aber wieder übermäßig ansteigen. Abhilfe wird hier erst das endgültige Schließen der Lücke schaffen. Die vorläufige Lösung verhindert aber die Ausführung von beliebigem Code von Außen. Erst am 11. Februar hatte Microsoft im Rahmen des monatlichen Patchday einen kumulativen Patch für den Internet Explorer eingespielt.