Sicherheitslücke im Internet Explorer

Wie Microsoft mitteilt, gibt es gezielte Angriffe, die eine Sicherheitslücke im Internet Explorer in den Versionen 6 bis 11 ausnutzen. Der Fehler erlaubt es Angreifern, eigenen Code mit den Rechten desjenigen Benutzers auszuführen, die den Internet Explorer verwenden, also gegebenenfalls auch als Administrator.

Auf den Server-Versionen 2003, 2008 (R2) und 2012 (R2) sind die möglichen Auswirkungen der Sicherheitslücke eingeschränkt, da der Browser dort per Default mit erweiterten Sicherheitsbeschränkungen läuft. Auch Outlook (Express) und Windows Mail öffnen HTML-Links mit restriktiveren Einstellungen, was die Anfälligkeit für ein Ausnutzen der Lücke per Phishing reduziert.

Microsoft arbeitet nach eigenen Angaben an einem Update, das die Lücke schließen soll und rät bis dahin zu einigen Maßnahmen, um das Risiko für einen Einbruch verkleinern sollen. Dies ist etwa die Installation des Enhanced Mitigation Experience Toolkit und die Anwendung einer entsprechenden Policy für den Internet Explorer. Eine weitere Maßnahme ist die Anpassung der Sicherheitseinstellungen für den Browser, um die Ausführung von ActiveX und Scripts zu verhindern. Eine ACL kann die DLL-Datei VGX.DLL schützen, muss aber vor einem Update des Internet Explorer wieder entfernt werden. Mehr Details zu diesen Maßnahmen sind im oben verlinkten Dokument von Microsoft zu finden.