Mit zunehmenden Webangriffen korrigiert Microsoft IE Bug

Sicherheitsexperten sagen das Web-Surfer sollten sofort einen neuen Bug-Fix für den Internet Explorer von Microsoft installieren, der am Mittwochmorgen veröffentlicht wurde.

Der Fehler, der vor über einer Woche von chinesischen Sicherheitsforschern versehentlich veröffentlicht wurde, wurde in einer wachsenden Anzahl von Web verwendet Angriffe in den letzten Tagen. Kriminelle haben einen Angriffscode veröffentlicht, der diesen Fehler auf Tausenden von Websites bisher ausnutzt, so Rick Howard, Geheimdienstchef bei Verisigns iDefense-Gruppe. Verisign hat jetzt sechs Varianten der Angriffssoftware gesehen, die versuchen, chinesische Online-Gaming-Zugangsdaten zu stehlen.

Oft wird der Angriff durch eine versteckte iFrame-Komponente gestartet, die heimlich auf einer Website platziert wird. Verisign hat sogar einen solchen iFrame-Angriff auf der Website eines seriösen Finanzinstituts entdeckt, sagte Howard. "Die Menge der iFrames, die dieses Ding bereitstellen, ist wirklich hoch."

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Fehler liegt in der Funktionsweise der Datenbindungsfunktion von Internet Explorer, so Microsoft. Wenn der Browser angegriffen wird, stürzt er ab, beschädigt den Computerspeicher und erlaubt dem Kriminellen, nicht autorisierte Software auszuführen.

Da der Internet Explorer von ungefähr 70 Prozent der Internetnutzer verwendet wird, wird dieser Angriffscode wahrscheinlich in weit verbreiteter bösartiger Software angezeigt Toolkits "sehr bald", sagte Howard.

Andere Sicherheitsunternehmen stimmten der Einschätzung von Verisign zu. "Microsofts neueste IE-Out-of-Band-Patch-Version muss sofort installiert werden", sagte Shavlik Technologies in einer Stellungnahme. "Die Zahl der infizierten Websites nimmt mit alarmierender Geschwindigkeit zu - selbst Leute, die seriöse Websites besuchen, werden von diesem Exploit gehackt."

Der Fehler ist so ernst, dass Microsoft den ungewöhnlichen Schritt unternommen hat, sein Sicherheitsfix Wochen vor dem Zeitplan. In der Regel veröffentlicht Microsoft nur einmal im Monat Sicherheits-Patches, um Systemadministratoren das Leben zu erleichtern. Die nächsten Updates sind für den 13. Januar geplant.

Kriminelle könnten ihre Angriffe auch per E-Mail starten, indem sie böswillig verschlüsselte HTML-Dokumente senden, obwohl diese Art von Angriff nicht gemeldet wurde.

Microsofts Patch ist für Benutzer von IE Version 5 und höher.