Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution

Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability (CVE-2008-4844). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen zur Eingrenzung des Schadpotentials durch zum Beispiel das Aktivieren von Sicherheitstechniken wie DEP und ASLR genannt. Gestern kündigte Microsoft die Bereitstellung eines Patches ausser der Reihe an (Advance Notification for December 2008 Out-of-Band Release).

Dieser Patch steht nunmehr zur Verfügung. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Verwundbarkeit im Internet Explorer kann durch das Besuchen einer mit Schadsoftware präparierten Webseite ohne Benutzerinteraktion ausgenutzt werden und wurde daher von Microsoft mit der Einstufung Kritisch versehen. Weitere Informationen werden in dem Microsoft Security Bulletin Summary for December 2008 aktualisiert zur Verfügung gestellt.

image

Wer das Sicherheitsupdate nicht über Microsoft Update oder Windows Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den Patches für die betroffenen einzelnen Versionen der aktuell unterstützten Produkte:

Update am 19.12.2008

Wir stellen über Microsoft Update und Windows Update auch aktualisierte Pakete für Betaprodukte wie Windows Vista SP2 Beta, Internet Explorer 8 Beta 2 sowie Windows 7 zur Verfügung.

IE3

Diese können auch über den Windows Update Catalog und das Microsoft Download Center direkt heruntergeladen werden:

ACHTUNG: Microsoft bietet jedoch keinen Support für die Kombination verschiedener Betaprodukte wie Vista SP2 Systeme mit IE 8.