Microsoft schließt kritische Lücke im Internet Explorer

Am Montag, dem 17.9.2012, waren Information über eine bisher unbekannte Sicherheitslücke im Internet Explorer an die Öffentlichkeit gelangt. Ein Sicherheitsexperte hatte die Schwachstelle bei der Analyse von Schadsoftware entdeckt. Diese hatte er auf einem Server gefunden, der sich mutmaßlich unter Kotrolle einer chinesischen Hackgruppe befand. Microsoft hatte daraufhin am 20. September ein Fix-it-Tool veröffentlicht, über das sich der Internet Explorer provisorisch absichern ließ.

Das Update von Freitagabend (21.09.2012) schließt diese Lücke (CVE-2012-4969) endgültig und beseitigt auch noch vier weitere Sicherheitsprobleme. Dabei handelt es sich durchweg um "Use After Free"-Schwachstellen, bei denen Code in Speicherbereichen ausgeführt werden kann, nachdem ein Programm diese bereits freigegeben hat. Das kann zu Abstürzen führen, bei denen Schadcode gestartet wird.

Microsoft liefert das Update beispielsweise mit dem Namen "Kumulatives Sicherheitsupdate für den Internet Explorer 9 (KB2744842)" in einer einzelnen Datei aus. Wenn Sie vorher bereits das Fix-it-Tool installiert haben, müssen Sie dieses vor dem Update nicht entfernen. Es gibt Updates für alle betroffenen Systeme, also Windows XP mit Service Pack 3, Windows Vista Service Pack 2 und Windows 7. Server 2003, 2008 und 2008 R2 sind ebenfalls betroffen. Die Auslieferung erfolgt automatisch über "Windows Update", wenn das Auto-Update aktiv ist. Sie können das Update auch über das Microsoft Download Center herunterladen. Suchen Sie hier nach "KB2744842" und laden Sie das für Ihr System passende Update herunter.