Microsoft schließt IE-Lücke mit Fix-it-Tool

Update 20. September 2012: Das in diesem Artikel angekündigte Fix-it-Tool ist heute erscheinen. Nutzer des Internet Explorers können es bei Microsoft herunterladen. Klicken Sie auf der Webseite auf die Fix-it-Schaltfläche unter "Enable". Starten Sie das heruntergeladene Tool und folgen Sie den Anweisungen auf dem Bildschirm. Ein Windows-Neustart ist nicht erforderlich.

Das eigentliche Sicherheitsupdate für den Internet Explorer soll am Freitag, den 21. September 2012 per Windows Update ausgeliefert werden. Microsoft empfiehlt aber dennoch, die Sicherheitslücke schon jetzt über das Fix-it-Tool zu schließen.

19. September 2012: In einem Blogbeitrag kündigt Microsoft an, in den nächsten Tagen ein Fix-it-Tool für den Internet Explorer veröffentlichen zu wollen. Damit soll eine Sicherheitslücke im Internet Explorer geschlossen werden, die beim Besuch von Webseiten zu einer Infektion des PCs mit Schadsoftware führen kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte deswegen eine Sicherheitswarnung ausgegeben und Benutzern des Internet Explorers den Umstieg auf andere Browser empfohlen.

Das kleine Fix-it-Programm müssten sich Benutzer, die sich beim Surfen mit dem Internet Explorer gefährdet fühlen, dann selbst herunterladen und installieren. Demnach wird es wohl kein Update für den Internet Explorer vor dem Oktober-Patchday geben. Das nächste reguläre Windows-Update ist für den 9. Oktober 2012 geplant.

Microsoft hält die tatsächliche Gefährdung durch die Sicherheitslücke im Internet Explorer eher für gering. In dem Blogbeitrag heißt es, "Wir haben nur wenige Versuche gesehen, die Sicherheitslücke auszunutzen und davon sind auch nur extrem wenige Nutzer betroffen". Man wolle aber trotzdem ein Update liefern, um sicherzustellen, dass "Nutzer des Internet Explorers geschützt sind und sicher im Internet unterwegs sein können". Das Fix-it-Tool soll außerdem keine Auswirkungen auf die korrekte Darstellung von Webseiten haben.

Bis das Tool erscheint, empfiehlt Microsoft als vorübergehende Sicherungsmaßnahme der Anleitung im Security Advisory 2757760 zu folgen. Darin wird die Absicherung über das Sicherheitstool EMET beschrieben. Außerdem sollen IE-Nutzer ActiveX und ActiveScripting (JavaScript) im Browser abschalten. Das würde jedoch dazu führen, dass der Internet Explorer viele Webseiten nicht mehr korrekt darstellt. JavaScript-Web-Anwendungen wie Gmail oder die Windows-Live-Dienste funktionieren dann ebenfalls nicht mehr. Nutzer des Internet Explorers müssten daher jede Website, die sie für sicher halten, umständlich in die Liste der vertrauenswürdigen Sites aufnehmen. Einfacher wäre es, wenigstens vorübergehend auf einen anderen Browser umzusteigen. Diese Alternative erwähnt Microsoft jedoch nicht.