hausgemacht

Kritische Sicherheitslücke durch Internet-Explorer-Update

Microsoft muss das angekündigte Patch-Update verschieben
Von Christian Horn

Microsoft hat sich selbst eine Sicherheitslücke gebastelt: Wie sich jetzt herausstellt, kann durch ein fehlerhaftes Sicherheits-Update für den Internet Explorer beim Besuch von präparierten Webseiten Code eingeschmuggelt werden, der die Remote-Kontrolle des betroffenen Systems erlaubt. Microsoft zufolge wird die hausgemachte Sicherheitslücke aber noch nicht von Angreifern ausgenutzt. Von der Schwachstelle sollen nur Nutzer des Internet Explorer 6 mit SP1, die das Sicherheits-Update MS06-042 installiert haben, betroffen sein.

Wie Microsoft in einem Security Advisory mitteilt, begründet sich die Sicherheitslücke in einem Fehler bei der Verarbeitung von langen URLs. Dieser Fehler, der nur beim Besuch von Webseiten mit HTTP 1.1 und Kompression auftritt, erzeugt einen Pufferüberlauf, der von Angreifern für die Einschleusung von Schadcode missbraucht werden kann. Dass der Internet Explorer nach der Installation des Sicherheits-Patches beim Besuch von HTTP 1.1-Seiten abstürzte, war bereits in der vergangenen Woche bekannt geworden und Microsoft hatte für gestern ein Patch-Update für das Problem angekündigt.

Dass der Browser-Absturz aber mit einem von Angreifern ausnutzbaren Puffer-Überlauf einhergeht, war in der vergangenen Woche noch nicht bekannt gewesen. Microsoft hat nun das angekündigte Patch-Update verschoben; wie das Unternehmen auf dem MSRC-Blog [Link entfernt] eingesteht ist das Update zum gegenwärtigen Zeitpunkt noch nicht lauffähig. Microsoft empfiehlt als Workaround in den Internet-Einstellungen des Browsers HTTP 1.1 zu deaktivieren. Dies beseitige allerdings nicht die zugrunde liegende Schwachstelle und Internetseiten, die HTTP 1.1 nutzen, können nicht erreicht werden.

Verzicht auf Sicherheits-Updates scheint keine empfehlenswerte Lösung

Trotz der Probleme und Nebenwirkungen, die Microsofts Sicherheits-Updates mitunter mit sich bringen, scheint ein Verzicht auf die Sicherheits-Patches auch keine empfehlenswerte Lösung: Wie das Sicherheits-Unternehmen CipherTrust [Link entfernt] mitteilt, sei in der vergangenen Woche die Zahl der beobachteten Zombie-PCs sprunghaft angestiegen. Den Anstieg führt das Sicherheitsunternehmen auf den Wurm Mocbot zurück, der eine im August-Patch-Day zwar reparierte, damit aber auch veröffentlichte Serverdienst-Schwachstelle ausnutzt.

Microsoft, das Mocbot unter dem Namen Graweg führt, hatte am Montag der vergangenen Woche noch erklärt, die Wurm-Angriffe seien sehr begrenzt und Nutzer, die das Sicherheits-Update MS06-040 installiert hätten, seien ohnehin nicht in Gefahr. CipherTrust glaubt aber, dass inzwischen schon zwischen 500 000 und einer Million Rechner von Mocbot gekapert worden sind - eine Anzahl, die keineswegs als begrenzt bezeichnet werden kann und ein Schlaglicht auf die vermutlich nicht unerhebliche Grauzone der Nutzer wirft, die offensichtlich nicht konsequent die aktuellen Sicherheits-Patches installieren. CipherTrust zufolge kommt die Mehrzahl der gekaperten Rechner beim Versand von Spam-Mails zum Einsatz.