Technische Warnung des Bürger-CERT
BETROFFENE SYSTEME
- Internet Explorer 6, 7, 8 und 9
EMPFEHLUNG
Microsoft hat angekündigt, am Freitagabend, den 21. September 2012, ein
Sicherheitsupdate zur Behebung der unten beschriebenen Schwachstelle
bereit zu stellen. Das Bürger-CERT empfiehlt Anwendern des Internet
Explorers, sowohl das Fix-it Tool [2] als auch das angekündigte
Sicherheitsupdate zu installieren. Bei Anwendung des Fix-it Tools
empfiehlt Microsoft, dass auf dem System alle bislang verfügbaren
Sicherheitsupdates installiert sind.
Die Installation des Microsoft-Sicherheitsupdates geschieht für Windows
Systeme am einfachsten über die Aktivierung von automatischen Updates im
Microsoft Sicherheitscenter [3], [4], [5] oder über einen Besuch der
"Windows Update" Webseite unter:
http://www.windowsupdate.com/
Das Bürger-CERT empfiehlt grundsätzlich eine Zwei-Browser-Strategie, um
bei aktuellen Schwachstellen eines Browsers ggf. auf das andere Produkt
umschalten zu können.
BESCHREIBUNG
Der Internet Explorer weist in den Versionen 6, 7, 8 und 9 eine
Schwachstelle (CVE-2012-4969) auf, die einem entfernten Angreifer die
Ausführung von beliebigem Code ermöglicht [1].
Diese Schwachstelle wird durch einen "use-after-free" Fehler verursacht,
wenn eine speziell manipulierte Internetseite verarbeitet wird. Ein
entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen.
Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den
Anwender dazu bringen eine manipulierte E-Mail oder Webseite zu öffnen.