Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution
Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability (CVE-2008-4844). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen zur Eingrenzung des Schadpotentials durch zum Beispiel das Aktivieren von Sicherheitstechniken wie DEP und ASLR genannt. Gestern kündigte Microsoft die Bereitstellung eines Patches ausser der Reihe an (Advance Notification for December 2008 Out-of-Band Release).
Dieser Patch steht nunmehr zur Verfügung. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Verwundbarkeit im Internet Explorer kann durch das Besuchen einer mit Schadsoftware präparierten Webseite ohne Benutzerinteraktion ausgenutzt werden und wurde daher von Microsoft mit der Einstufung Kritisch versehen. Weitere Informationen werden in dem Microsoft Security Bulletin Summary for December 2008 aktualisiert zur Verfügung gestellt.
Wer das Sicherheitsupdate nicht über Microsoft Update oder Windows Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den Patches für die betroffenen einzelnen Versionen der aktuell unterstützten Produkte:
- Internet Explorer 5.01
- Internet Explorer 6 SP1
- Internet Explorer 6
- Internet Explorer 7
- Windows XP SP2 & SP3
- Windows XP (x64) RTM & SP2
- Windows Server 2003 (32-bit) SP1 & SP2
- Windows Server 2003 (x64) RTM & SP2
- Windows Server 2003 (Itanium) SP1 & SP2
- Windows Vista (32-bit) RTM & SP1
- Windows Vista (x64) RTM & SP1
- Windows Server 2008 (32-bit) RTM (SP1)
- Windows Server 2008 (x64) RTM (SP1)
- Windows Server 2008 (Itanium)
Update am 19.12.2008
Wir stellen über Microsoft Update und Windows Update auch aktualisierte Pakete für Betaprodukte wie Windows Vista SP2 Beta, Internet Explorer 8 Beta 2 sowie Windows 7 zur Verfügung.
Diese können auch über den Windows Update Catalog und das Microsoft Download Center direkt heruntergeladen werden:
- Internet Explorer 7
- Internet Explorer 8 Beta 2
- Windows XP SP2 & SP3
- Windows XP (x64) RTM & SP2
- Windows Server 2003 (32-bit) SP2
- Windows Server 2003 (x64) SP2
- Windows Vista (32-bit) RTM & SP1
- Windows Vista (x64) RTM & SP1
- Windows Server 2008 (32-bit)
- Windows Server 2008 (x64)
- Windows 7 Pre-Beta (32-bit)
- Windows 7 Pre-Beta (x64)
- Windows 7 Pre-Beta (Itanium)
ACHTUNG: Microsoft bietet jedoch keinen Support für die Kombination verschiedener Betaprodukte wie Vista SP2 Systeme mit IE 8.