Internet-Explorer-Bug: Windows-Patch: Die Rettung ist da

An diesem Donnerstagabend sollten Windows-Nutzer das Warnsymbol rechts unten auf ihrem Computermonitor auf gar keinen Fall ignorieren. Denn es weist auf ein Update hin, mit dem eines der gefährlichsten Sicherheitslücken in der Geschichte des Microsoft-Betriebssystems geschlossen wird. Über den Internet-Explorer-Bug war es chinesischen Hackern gelungen, die Googlemail-Konten von Dissidenten zu knacken. „Sicherheitslücken dieser Art gibt es viele. In diesem Fall ist jedoch das Wissen darüber ins Internet gelangt. Jetzt kann jeder die Lücke ausnutzen. Von den Angriffen der Skript-Kids sind nicht nur Wirtschaftsunternehmen betroffen, sondern genauso Privatnutzer“, sagte Christoph Fischer, IT-Sicherheitsexperte aus Karlsruhe, dem Tagesspiegel. Dabei gibt es durchaus Möglichkeiten, diese Gefahren einzudämmen.

Jetzt ist erst einmal Patchday. Microsoft hatte am Donnerstagmorgen angekündigt, dass das Update für die Internet Explorer der Versionen 6, 7 und 8 am frühen Abend zur Verfügung stehen werde. Das Update gilt für Windows XP, Vista und Windows 7. Nutzer dieser Systeme, die ihren Computer wie empfohlen per Auto-Updates pflegen lassen, erhalten den Patch ohne eigenes Zutun. Wer danach nicht warten will, bis Windows den Patch zum vorgegebenen Zeitpunkt auch installiert, kann die Installation direkt über das Warnsymbol im Systembereich anstoßen. Um Updates manuell abzufragen und zu installieren, wird mit dem Internet Explorer die Seite windowsupdate.microsoft.com aufgerufen. Dies ist besonders dann zu empfehlen, wenn lange Zeit keine Updates eingespielt wurden.

Privaten Computernutzern hatte Microsoft geraten, möglichst den Internet Explorer 8 einzusetzen. Die Lücke existierte zwar auch in diesem Programm, blieb aber in der Praxis nach Angaben von Microsoft ungefährlich, da der Browser über zusätzliche Sicherheitsmechanismen verfügt. „Wir wissen jedoch auch, dass gerade für Unternehmenskunden die Entscheidung für den Wechsel schwierig ist, weil die Einführung von Internet Explorer 8 nicht immer ohne weiteres möglich ist. Deshalb war es für uns wichtig, ein Update liefern zu können, das sowohl den hohen Qualitätsansprüchen an unser Flaggschiff Internet Explorer 8 genügt, als auch unseren vorhandenen Internet Explorer-6- Kunden einen langfristigen und zuverlässigen Investitionsschutz bietet“, begründete Microsoft-Deutschland-Chef Achim Berg das „Außer-der-Reihe-Update. Sicherlich dürfte aber auch eine Rolle gespielt haben, dass nach den Warnungen unter anderem des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verstärkt Alternativ-Browser wie Firefox oder Opera geladen wurden.

Die aktuelle Gefahr durch den Fehler in der so genannten MSHTML-Engine des Internet Explorers dürfte durch den Patch gebannt sein. Am grundsätzlichen Problem ändert dies jedoch wenig, meint Christoph Fischer. „Die Mehrzahl der Computer sind entweder komplett ungepatcht oder schlecht gewartet“, weiß der Geschäftsführer des IT-Sicherheitsunternehmens BFK edv-consulting. Die Lücken betreffen zudem nicht nur das Betriebssystem und die Internet-Browser. Fischer rät dazu, von Zeit zu Zeit den Update-Check auf Heise.de laufen zu lassen (siehe Kasten).

An der Empfehlung für den Alternative-Browser Firefox hält Fischer unabhängig vom IE-Patch fest – am besten in Kombination mit der Erweiterung „No Script“. Diees Firefox-Addon sorgt dafür, dass potenziell gefährliche Skripte (JavaScript, Java und andere Plugins) nur auf Seiten ausgeführt werden, die der Benutzer zuvor als sicher eingestuft hat.

Am Donnerstagabend wird zudem die Firefox-Version 3.6 veröffentlicht. Der Browser sorgt unter anderem durch die automatische Erkennung veralteter Plugins für mehr Sicherheit. Die Browsererweiterungen ermöglichen beispielsweise, dass auf Webseiten Videos, Spiele oder Dokumentenansichten eingebaut werden können. Firefox 3.6 überprüft, ob gefährdete Plugins vorhanden sind und versucht Update-Abhilfe zu leisten.

Aber auch für Mac-Nutzer ist Sicherheit ein wichtiges Thema. Nutzer von Apple-Rechnern sollten das neueste Update-Paket herunterladen, rät das BSI. Damit würden insgesamt zwölf Schwachstellen beseitigt. Kriminelle könnten diese ausnutzen, um auf Rechnern mit den Betriebssystemen Mac OS X 10.5 und 10.6 zum Beispiel für Abstürze zu sorgen oder unbemerkt Informationen abzugreifen. Aufgespielt wird das Update „2010-001“ über die „Softwareaktualisierung“ oder von der Seite support.apple.com/downloads.

GEPRÜFTE SICHERHEIT: Der Update-Check

Bekannte, aber nicht geschlossene Sicherheitslücken in Windows und den installierten Programmen sind die gefährlichsten Einfallstore für Hackerattacken. Der Heise-Verlag („c’t“, „iX“) hat mit dem dänischen Sicherheitsunternehmen Secunia einen hilfreichen Update-Check entwickelt.

Nach einer Sicherheitsabfrage auf der Heise-Webseite wird angezeigt, welche Programme unbedingt per Update oder Patch erneuert werden müssen. Berücksichtigt werden neben Windows die installierten Browser, Hilfsprogramme wie Adobe Reader, Apple Quicktime, der Flash-Player oder die Java-Umgebung.

Es werden keine Änderungen am System vorgenommen. Der Update- Check weist vielmehr darauf hin, von wo das Update oder der Patch heruntergeladen und installiert werden kann. sag
www.heise.de/security/dienste/Update-Check-843063.html