Phenquestions
Microsoft hat heute ein neues Out-of-Band-Sicherheitsbulletin veröffentlicht, das über eine neu entdeckte kritische Sicherheitslücke im Internet Explorer-Webbrowser des Unternehmens informiert.
Die laut Unternehmen bereits in freier Wildbahn ausgenutzte Schwachstelle betrifft Internet Explorer 7 bis 11 auf Client- und Server-Betriebssystemen. Microsoft Edge, der standardmäßige Windows 10-Webbrowser, wird auf der Seite nicht aufgeführt und ist daher nicht von der Sicherheitsanfälligkeit betroffen affected.
Die Schwachstelle wird für alle Client-Betriebssysteme als kritisch und für alle Server-Betriebssysteme des Unternehmens als moderat eingestuft.
Microsoft hat Patches für alle betroffenen (und unterstützten) Versionen von Windows veröffentlicht. Diese Patches sind bereits über Windows Update und über das Download Center von Microsoft verfügbar.
Das Update wird als "kumulatives Update für Windows 10 (KB3081444)" für Windows 10-Systeme und mit dem Code KB3087985 in früheren Versionen von Windows aufgeführt. Das Update KB3078071 ist Voraussetzung für dieses Update auf Windows 8.1 und 7 und Windows Server 2008 R2 und 2012 R2.
Angreifer können die Sicherheitsanfälligkeit auf verschiedene Weise ausnutzen, beispielsweise durch Erstellen von Webseiten, die die Sicherheitsanfälligkeit ausnutzen, HTML-E-Mails oder Webwerbung. Um die Schwachstelle auszulösen ist lediglich erforderlich, dass diese Inhalte in eine betroffene Version des Internet Explorers geladen werden, ansonsten ist eine Interaktion mit der Site nicht erforderlich.
Angreifer erhalten dieselben Rechte wie der aktuelle Benutzer auf dem System. Wenn der angemeldete Benutzer über Administratorrechte verfügt, ist eine vollständige Übernahme des Systems möglich, da der Angreifer Systemeinstellungen ändern, Benutzerkonten erstellen oder ändern, Software installieren oder entfernen kann und mehr.
Microsoft erwähnt in der Sicherheitsempfehlung zwei mildernde Faktoren. Eine nicht-administrative Benutzerebene des angemeldeten Benutzers kann sich auf die Auswirkungen auf das System auswirken. Darüber hinaus hilft Microsoft EMET, das Enhanced Mitigation Experience Toolkit des Unternehmens, laut Microsoft bei der Abwehr des Angriffs, vorausgesetzt, es ist korrekt für die Arbeit mit dem Internet Explorer-Webbrowser konfiguriert.
Download-Links für alle unterstützten Betriebssysteme sind auf der Seite mit dem Sicherheitsbulletin auf der Microsoft-Website aufgeführt. Um das Update manuell herunterzuladen, suchen Sie die installierte Version von Internet Explorer unter betroffener Software und klicken Sie auf den Link neben dem Betriebssystem, auf dem der Computer ausgeführt wird.
Dies ist der zweite Notfall-Patch, der in den letzten Wochen veröffentlicht wurde. Microsoft hat Ende Juli das Bulletin MS15-078 für alle unterstützten Betriebssysteme veröffentlicht, das eine kritische Sicherheitslücke in Microsoft Font Driver behebt.
