Eine Sicherheitslücke im unter Windows XP noch weit verbreiteten Internet Explorer 8 ermöglicht es Angreifern beliebigen Programmcode im Kontext des Benutzers auszuführen, wenn der Benutzer eine entsprechend präparierte Internetseite aufruft. Ältere und aktuellere Versionen des Internet Explorers sind gemäß Microsoft nicht von der Sicherheitslücke betroffen.
Die von Microsoft empfohlene Aktualisierung des Internet Explorers ist erst ab Windows Vista möglich. Benutzer von Windows XP können maximal auf Internet Explorer 8 aktualisieren.
Microsoft stellt einen sogenannten Hotfix für Internet Explorer 8 bereit. Der Hotfix ist nicht Bestandteil eines automatischen Sicherheitsupdates, er muss manuell installiert werden.
Microsoft stellt zwei Dateien zur Verfügung. Durch ausführen von MicrosoftFixIt50992 wird der Hotfix angewendet. Durch ausführen von MicrosoftFixIt50991 wird seine Wirkung wieder aufgehoben.
Die Sicherheitslücke wird bereits aktiv und gezielt für Angriffe genutzt. Seit etwa 2 Tagen existiert ein öffentlicher Exploit (Anleitung). Es ist somit damit zu rechnen, dass die Sicherheitslücke zukünftig weitreichend ausgenutzt wird.
Wenn Sie Internet Explorer 8 unter Windows XP, Windows Vista oder Windows 7 verwenden, sollten Sie unbedingt MicrosoftFixIt50992 ausführen oder, wenn möglich, ihren Browser auf Version 10 aktualisieren. Informationen über die von ihnen verwendete Version erhalten Sie bsw. durch drücken der F1 Taste bei geöffneten Internet Explorer.
- Schwere Sicherheitslücke im Internet Explorer 8
- Microsoft Releases Security Advisory 2847140
- Microsoft-Sicherheitsempfehlung (2847140)
- Microsoft Security Advisory: Vulnerability in Internet Explorer 8 could allow remote code execution: May 8, 2013
- Hotfixes von Microsoft und Adobe
- IE8-Lücke für Angriffe auf US-Energiesektor ausgenutzt
- Exploit für kritische Zero-Day-Lücke im Internet Explorer 8
- Department of Labor IE 0-day Exploit (CVE-2013-1347) Now Available at Metasploit
- U.S. Department of Labor website hacked and redirecting to malicious code