Microsoft: IE5, IE6 auch von Browser-Sicherheitslücke betroffen

Eine nicht behobene Sicherheitslücke in Internet Explorer 7 betrifft auch ältere Versionen des Browsers sowie die neueste Beta-Version, warnte Microsoft Donnerstag.

Die neue Information erweitert den Pool von Benutzern Wer könnte gefährdet sein, sich versehentlich mit auf seinem PC installierter Schadsoftware zu infizieren, da Microsoft noch kein Patch bereit hat.

Microsoft bestätigte in einem am Donnerstag aktualisierten Advisory, dass IE 5.01 mit Service Pack 4, IE6 mit und ohne Service Pack 1 und IE8 Beta 2 auf allen Versionen des Windows-Betriebssystems sind möglicherweise anfällig.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Auch anfällig sind Benutzer mit IE7 auf Windo ws XP Service Pack 2 und 3, Windows Server 2003 Service Pack 1 und 2, Windows Vista mit und ohne Service Pack 1 und Windows Server 2008.

Das Unternehmen hat nach widersprüchlichen Berichten von Computer-Sicherheitsunternehmen das Problem mit dem Browser geklärt.

"Die Sicherheitsanfälligkeit existiert als ungültige Zeigerreferenz in der Datenbindungsfunktion von Internet Explorer", heißt es in der Empfehlung. "Wenn die Datenbindung aktiviert ist (dies ist der Standardzustand), kann unter bestimmten Bedingungen ein Objekt freigegeben werden, ohne die Array-Länge zu aktualisieren, wodurch der Zugriff auf den Speicherbereich des gelöschten Objekts möglich ist. Dies kann dazu führen, dass Internet Explorer beendet wird unerwartet, in einem Zustand, der ausnutzbar ist. "

Microsoft sagte, es habe nur begrenzte Angriffe auf den Fehler in IE7 gesehen. Sicherheitsanalysten haben jedoch angegeben, dass anscheinend immer mehr Websites erstellt werden, die die Sicherheitsanfälligkeit ausnutzen können.

Das Problem ist besonders gravierend, da Benutzer in einigen Fällen lediglich eine Website anzeigen müssen, um ein Trojanisches Pferd zu erhalten Programm automatisch auf ihren Rechner heruntergeladen. Sobald er auf einem PC ist, kann der Hacker das Programm anweisen, andere schlechte Software herunterzuladen und Aktionen wie das Versenden von Spam und das Stehlen von Daten auszuführen.

Microsoft hat im Advisory verschiedene Wege aufgezeigt, wie Menschen die Wahrscheinlichkeit, Opfer zu werden, reduzieren können Version des Browsers und des Betriebssystems, das sie verwenden. Die sicherste Lösung ist jedoch, einen anderen Browser zu verwenden, bis Microsoft ihn behebt.

Microsoft veröffentlicht regelmäßig Patches am zweiten Dienstag des Monats, aber es ist bekannt, dass es einen sogenannten Out-of-Band-Patch veröffentlicht Bedrohung wird als schwer genug erachtet. Microsoft sagt nicht, ob es das tun wird und tendiert dazu, das Update einfach zu veröffentlichen.

Der nächste geplante Patch-Tag ist der 13. Januar, was bedeutet, dass Angreifer mindestens einen Monat Zeit haben werden, um so viele Computer wie möglich zu infizieren Erstelle einen Patch für den Fehler an diesem Tag.

Informationen über die Sicherheitslücke erschienen zuerst in der Region China. Ein chinesisches Sicherheitsunternehmen, genannt "knownsec", sagte, es habe Gerüchte über Code gehört, der Anfang des Jahres in kriminellen Untergrundmärkten zirkulierte. Es wird angenommen, dass der Exploit-Code zu einem Zeitpunkt für 15.000 US-Dollar verkauft wurde.

Software-Schwachstellen sind für Cyberkriminelle sehr wertvoll, da die Fehler dazu genutzt werden können, Kreditkarteninformationen und andere Finanzdaten zu stehlen.

In den letzten paar In den letzten Jahren hat Microsoft die Verbesserung der Computersicherheit angekündigt, ist aber immer noch durch neue Fehlererfindungen in älterer Software belastet.