Attacken gegen Internet Explorer

Ein Update schließt eine kritische Lücke im Internet Explorer – es ist aber noch nicht über Windows Update verfügbar. Auch Windows Defender bekommt einen Patch.

Derzeit haben es Angreifer auf Nutzer mit Windows-Computern abgesehen, die mit dem Internet Explorer surfen. Ist eine Attacke erfolgreich, ist die Ausführung von Schadcode vorstellbar. Ein Sicherheitspatch ist verfügbar, aber noch nicht über Windows Update.

Für einen erfolgreichen Übergriff müssen Angreifer Opfer lediglich auf eine präparierte Website locken. Der Besuch triggert die als „kritisch“ eingestufte Schwachstelle (CVE-2019-1367) in der Speicherverwaltung (Scripting Engine), was in einem Speicherfehler resultiert.

Darüber könnten Angreifer eigenen Code auf Computern mit den Rechten des Opfers ausführen. Hat ein Opfer zum Zeitpunkt der Attacke Admin-Rechte, können die Angreifer die volle Kontrolle übernehmen.

Betroffen davon sind Internet Explorer 9, 10 und 11 unter verschiedenen Windows-Versionen. Zum jetzigen Zeitpunkt ist das Update einen Support-Beitrag von Microsoft zufolge noch nicht über Windows Update verfügbar. Dementsprechend muss man es manuell herunterladen und installieren. Microsoft will das Sicherheitsupdate erst im Oktober zum Patchday über Windows Update verteilen.

Auch Windows Defender bekommt einen Patch außer der Reihe. Das Ausnutzen der Sicherheitslücke (CVE-2019-1255) kann den Viren-Scanner in einen DoS-Zustand versetzen. Das Update gilt als „wichtig“. Damit eine Attacke klappt, benötigt ein Angreifer bereits Zugriff auf ein System.

Manueller Download (KB4522016) – Windows 10 1903
Manueller Download (KB4522015) – Windows 10 1809
Weitere Versionen (CVE-2019-1367)