Websicherheit.org

Secunia berichtet von einer extrem kritischen Sicherheitslücke (höchste Warnstufe bei Secunia) im Internet Explorer 6 und Internet Explorer 7, welche Angreifer mittels manipulierte Webseiten ausnutzen können, die Kontrolle eines Systems zu übernehmen.
Diese Lücke wird bereits aktiv ausgenutzt.
Diese Lücke wurde bereits von Microsoft im Security Advisory (981374) bestätigt.
Nach diesem Report sind folgende Betriebssysteme/Internet Explorer Versionen nicht betroffen (diese Aufzählung ist kürzer als die betroffenen Systeme):

• Windows 7 (32-bit und 64-bit)
• Windows Server 2008 R2 (64-bit und Itanium basierende Systeme)
• Internet Explorer 5.01 SP4 auf Windows 2000 SP4
• Internet Explorer 8 auf:
• Windows XP (SP2, SP3, 64-bit SP2)
• Windows Server 2003 (SP2 und 64-bit SP2)
• Windows Vista (SP1, SP2, 64-bit SP1 und 64-bit SP2)
• Windows Server 2008 (32-bit, 32-bit SP2 und 64-bit, 64-bit SP2 )
• Windows 7 (32-bit und 64-bit)
• Windows Server 2008 R2 (64-bit und Itanium basierende Systeme)

Alle anderen Betriebssysteme mit IE6 und IE7 sind betroffen.

Microsoft empfiehlt die Sicherheitseinstellungen des Browser für das Internet und lokales Intranet auf hoch zu stellen sowie ActiveX und Active Scripting für den Browser zu deaktivieren, die Datenausführungsverhinderung (DEP) für den IE6 zu aktivieren, sowie nur auf vertrauenswürdige Webseiten zuzugreifen (wenn diese nach diesen Einstellungen überhaupt noch korrekt angezeigt werden).

Am besten, man lässt die Finger vom IE6 und IE7 auf den betroffenen Betriebssystemen und verwendet den IE8 oder einen alternativen Browser.
Wann für diese Browserlücken Patches zur Verfügung stehen werden ist noch nicht bekannt.

Update 1:
Das Exploit-Framework Metasploit hat für die neue Sicherheitslücke im Internet Explorer 6 und 7 ein Exploit veröffentlicht. Wenn es laut Aussage von Microsoft noch zu wenigen Angriffen auf diese bestehende Lücke gekommen ist, so ist nun anzunehmen, das diese Angriffe nun steigen werden.
Motivation zur Veröffentlichung des Exploits der Metasploit-Betreiber ist Microsoft ausreichend zu motivieren, sich der Problematik anzunehmen und zügig einen (außerplanmäßigen) Patch den Anwendern zur Verfügung zu stellen.

Update 2:
Microsoft hat zu den Lücken im Internet Explorer 6 und Internet Explorer 7 ein “Fix it” veröffentlicht.
Dieses “Fix it” steht jedoch nur für die Betriebssysteme Windows XP und Windows 2003 zur Verfügung.
Dieses deaktiviert die Peer-Factory-Class in der Datei iepeers.dll.
Darüber hinaus befindet sich auf der Seite ein “Fix it”, welche die Datenausführungsverhinderung ( Data Execution Prevention – DEP) automatisch für die von der Sicherheitslücke betroffenen Browser aktiviert.
Noch ist nicht klar, ob es einen außerplanmäßigen Patch für diese Lücke geben wird.
Möglicherweise wird diese kritische Sicherheitslücke erst im Zuge des April-Patchdays (13.04.2010) geschlossen werden, da die Internet Explorer 8 von dieser Lücke nicht betroffen ist und das “Fix it” nun zur Verfügung steht.

Update 3:
Microsoft stellt heute Abend für die bestehenden Lücken im Internet Explorer 6 und Internet Explorer 7 einen Patch außerplanmäßig zur Verfügung.
Darüber hinaus wird noch eine Sicherheitslücke geschlossen, die im Internet Explorer 8 unter Windows 7 besteht.
Um welche Sicherheitslücke es hier handelt ist noch nicht bekannt.
Weitere Informationen finden sich im Microsoft Security Bulletin Summary for March 2010.
Die Patches sollten schnellstens eingespielt werden.