Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution
Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability (CVE-2008-4844). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen zur Eingrenzung des Schadpotentials durch zum Beispiel das Aktivieren von Sicherheitstechniken wie DEP und ASLR genannt. Gestern kündigte Microsoft die Bereitstellung eines Patches ausser der Reihe an (Advance Notification for December 2008 Out-of-Band Release).
Dieser Patch steht nunmehr zur Verfügung. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Verwundbarkeit im Internet Explorer kann durch das Besuchen einer mit Schadsoftware präparierten Webseite ohne Benutzerinteraktion ausgenutzt werden und wurde daher von Microsoft mit der Einstufung Kritisch versehen. Weitere Informationen werden in dem Microsoft Security Bulletin Summary for December 2008 aktualisiert zur Verfügung gestellt.
Wer das Sicherheitsupdate nicht über Microsoft Update oder Windows Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den Patches für die betroffenen einzelnen Versionen der aktuell unterstützten Produkte:
- Internet Explorer 5.01
- Windows 2000 SP4: Microsoft Internet Explorer 5.01 Service Pack 4
- Internet Explorer 6 SP1
- Windows 2000 SP4: Microsoft Internet Explorer 6 Service Pack 1
- Internet Explorer 6
- Windows XP SP2 & SP3: Microsoft Internet Explorer 6
- Windows XP (x64) RTM & SP2: Microsoft Internet Explorer 6
- Windows Server 2003 (32-bit) SP1 & SP2: Microsoft Internet Explorer 6
- Windows Server 2003 (x64) RTM & SP2: Microsoft Internet Explorer 6
- Windows Server 2003 (Itanium) SP1 & SP2: Microsoft Internet Explorer 6
- Internet Explorer 7
- Windows XP SP2 & SP3: Windows Internet Explorer 7
- Windows XP (x64) RTM & SP2: Windows Internet Explorer 7
- Windows Server 2003 (32-bit) SP1 & SP2: Windows Internet Explorer 7
- Windows Server 2003 (x64) RTM & SP2: Windows Internet Explorer 7
- Windows Server 2003 (Itanium) SP1 & SP2: Windows Internet Explorer 7
- Windows Vista (32-bit) RTM & SP1: Windows Internet Explorer 7
- Windows Vista (x64) RTM & SP1: Windows Internet Explorer 7
- Windows Server 2008 (32-bit) RTM (SP1): Windows Internet Explorer 7
- Windows Server 2008 (x64) RTM (SP1): Windows Internet Explorer 7
- Windows Server 2008 (Itanium): Windows Internet Explorer 7
Update am 19.12.2008
Wir stellen über Microsoft Update und Windows Update auch aktualisierte Pakete für Betaprodukte wie Windows Vista SP2 Beta, Internet Explorer 8 Beta 2 sowie Windows 7 zur Verfügung.
Diese können auch über den Windows Update Catalog und das Microsoft Download Center direkt heruntergeladen werden:
- Internet Explorer 7
- Windows Vista (32-bit) SP2 Beta: Windows Internet Explorer 7
- Windows Vista (x64) SP2 Beta: Windows Internet Explorer 7
- Windows Server 2008 (32-bit) SP2 Beta: Windows Internet Explorer 7
- Windows Server 2008 (x64) SP2 Beta: Windows Internet Explorer 7
- Internet Explorer 8 Beta 2
- Windows XP SP2 & SP3: Windows Internet Explorer 8 Beta 2
- Windows XP (x64) RTM & SP2: Windows Internet Explorer 8 Beta 2
- Windows Server 2003 (32-bit) SP2: Windows Internet Explorer 8 Beta 2
- Windows Server 2003 (x64) SP2: Windows Internet Explorer 8 Beta 2
- Windows Vista (32-bit) RTM & SP1: Windows Internet Explorer 8 Beta 2
- Windows Vista (x64) RTM & SP1: Windows Internet Explorer 8 Beta 2
- Windows Server 2008 (32-bit): Windows Internet Explorer 8 Beta 2
- Windows Server 2008 (x64): Windows Internet Explorer 8 Beta 2
- Windows 7 Pre-Beta (32-bit): Windows Internet Explorer 8 Beta 2
- Windows 7 Pre-Beta (x64): Windows Internet Explorer 8 Beta 2
- Windows 7 Pre-Beta (Itanium): Windows Internet Explorer 8 Beta 2
ACHTUNG: Microsoft bietet jedoch keinen Support für die Kombination verschiedener Betaprodukte wie Vista SP2 Systeme mit IE 8.