Microsoft veröffentlicht Sicherheitslücke für Patch-to-Plug-IE

Wie erwartet hat Microsoft gestern ein Sicherheitsbulletin und einen Patch herausgegeben kritisches Loch im Internet Explorer-Webbrowser, der von Angreifern bereits weitgehend ausgenutzt wird. Das Unternehmen kündigte für einige Benutzer von Windows XP Service Pack 1 außerdem eine Änderung von Windows Update für drei zuvor herausgegebene Fixes von Oktober an.

Die von Microsofts aktuellstes Bulletin MS04-040 behobene Sicherheitsanfälligkeit wurde erstmals am 24. Oktober veröffentlicht und ist vorhanden in den iFrame-Tags von Internet Explorer. Der Buffer-Overflow-Fehler ermöglicht es Angreifern, die vollständige Kontrolle über ein kompromittiertes System zu erlangen. Benutzer können damit Websites besuchen, auf denen bösartiger Code heruntergeladen werden kann.

Ein Proof-of-Concept-Exploit namens Bofra, der den iFrame nutzt Dieser Fehler war mehrere Tage lang verfügbar und wurde in der letzten Woche bei Angriffen über Banneranzeigen verwendet, die Benutzer auf Rogue-Websites umgeleitet haben.

"Wir sind uns eines Proof-of-Concept-Codes und öffentlicher Angriffe bewusst" , sagte Stephen Toulouse, Sicherheitsprogramm-Manager bei Microsoft Security Response Center. Aus diesem Grund fordert Microsoft die Benutzer auf, den neuesten Patch so schnell wie möglich zu installieren, fügte er hinzu.

Der Fehler betrifft nicht Benutzer, die XP SP2 bereits installiert haben.

Inzwischen hat Microsoft drei seiner neu herausgegeben Fixes von Oktober für Benutzer von SP1, denen die Updates möglicherweise früher nicht angeboten wurden. Das Problem betrifft SP1-Benutzer, die den SP2-Patch zwar heruntergeladen, aber noch nicht auf ihrem Computer installiert haben.

Der Microsoft Windows Update- und automatische Updates-Dienst hätte die Oktober-Fixes diesen Benutzern nicht automatisch angeboten, sagte Toulouse. Die heutigen Updates behebt das Problem für diese Benutzer.