Microsoft eilt Explorer 8 Patch-Release

Nur 11 Tage nach der Veröffentlichung eines Advisory hat Microsoft einen Patch für einen Bug in Internet Explorer 8 veröffentlicht, der Anfang des Monats das US Department of Labor bezwungen hat.

Microsofts schnelle Veröffentlichung dieses Patches " ist ein hervorragendes Beispiel für die Reaktionsfähigkeit von Microsoft gegenüber der Sicherheitsgemeinschaft und ihren Benutzern ", schrieb Andrew Storms, Sicherheitsbeauftragter des Sicherheitssoftware-Anbieters Tripwire, in einer E-Mail-Erklärung.

Dieses IE8 Security Bulletin (MS13-038) ist eins von 10, die Microsoft am Dienstag im Rahmen seiner "Patch Tuesday" -Freigabe von Bugfixes und Security Bulletins veröffentlicht hat, die das Unternehmen routinemäßig am zweiten Dienstag eines jeden Monats herausgibt.

[Weitere Informationen: So entfernen Sie malwar e von Ihrem Windows-PC]

Microsoft hat MS13-038 als kritisch markiert und das Unternehmen rät zusammen mit anderen Sicherheitsfirmen denjenigen, die noch IE8 ausführen, das Update sofort anzuwenden. Angreifer nutzten diese manipulierte Website auf einer geänderten Website des Arbeitsministeriums, um auf dem Computer eines Besuchers, auf dem IE8 ausgeführt wurde, bösartigen Code zu installieren. Microsoft hat letzte Woche eine vorläufige Fehlerbehebung für diese Sicherheitsanfälligkeit herausgegeben.

Das andere wichtige Bulletin MS13-037 betrifft auch Internet Explorer. Dieses Update behebt 11 Probleme, durch die bösartiger Code auf einer speziell gestalteten Webseite in den Browser injiziert werden kann, sodass der Benutzer die Kontrolle über einen Computer übernehmen kann. Das Update deckt die Schwachstelle PWN2Own ab, die Anfang des Jahres entdeckt wurde.

Wer Windows Server 2012 verwendet, sollte sich MS MS03-039 ansehen. Dieses Update behebt eine Sicherheitsanfälligkeit in Microsoft Web IIS (Internetinformationsdienste), die bei einem Denial-of-Service-Angriff (DoS) mithilfe eines HTTP-Pakets verwendet werden kann. Da es mit dieser Sicherheitsanfälligkeit relativ einfach wäre, einen Angriff zu erstellen, sollten Organisationen dieses Update so schnell wie möglich anwenden, da Exploits, die auf dieser Sicherheitsanfälligkeit basieren, laut Tripwire möglicherweise erst in wenigen Wochen auftauchen.

Ross Barrett, Senior Manager für Sicherheitstechnik bei der Sicherheitsfirma Rapid7, schrieb in einer Erklärung: "Während DoS-Angriffe im Allgemeinen als zweite (oder dritte) Stufe betrachtet werden, was das Risiko angeht, könnte dies für eine Organisation möglicherweise sehr störend sein, da viele entfernte Dienste und Active Directory-Integrationen basieren auf http.sys, "welches das von IIS verwendete Netzwerk-Subsystem ist.

Ein" erfolgreicher Exploit dieses Fehlers könnte ernsthafte Auswirkungen auf öffentliche Web-Server ohne eine Art Inline [Intrusion Prevention System] haben Sie. Im Grunde könnte jeder Benutzer einen einfachen Angriff starten und der Server wäre im Wesentlichen offline ", bemerkte Storms. Er stellte außerdem fest, dass jede Kopie von Microsoft Server 2012 - nicht nur solche, die als Webserver funktionieren - IIS ausführen könnte, z. B. ein Server für Microsoft Exchange oder SharePoint.

Die sieben verbleibenden Bulletins - keine kritische, aber alle als wichtige Adresse Fehler in Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net und dem Windows-Kernel.