BrowsersicherheitMicrosoft schließt Sicherheitslücke im Internet Explorer

Gegen die Schwachstelle im Explorer hat Microsoft nun eine Notlösung veröffentlicht. Ein großes Update folgt morgen. Der Konzern hat aber noch mehr Ärger mit dem Browser. von dpa

Screenshot vom Auswahlfenster für den bevorzugten Browser, das von Anfang 2010 an auf allen PCs mit einem Internet Explorer erscheinen sollte.

Screenshot vom Auswahlfenster für den bevorzugten Browser, das von Anfang 2010 an auf allen PCs mit einem Internet Explorer erscheinen sollte.  |  © Microsoft

Nun geht es doch etwas schneller als zunächst befürchtet: Microsoft will die gefährliche Sicherheitslücke im Internet Explorer bereits am Freitag schließen. Es werde ein umfangreiches Software-Update geben, kündigte das Unternehmen in einem Blogeintrag in der Nacht zum Donnerstag an.

Als sofortige Maßnahme bietet Microsoft eine Zwischenlösung an – ein Fixit –, um die Computer der Nutzer etwas besser zu schützen. Über die Schwachstelle im Browser kann ein Computer nämlich mit einem Trojaner infiziert werden, mit dessen Hilfe ein Angreifer letztlich die Kontrolle über den Rechner übernehmen kann.

Anzeige

Für eine Infektion reicht es schon, eine präparierte Website zu besuchen. Bisher seien aber nur wenige Nutzer Ziel einer Attacke geworden, betonte Microsoft.

Die Übergangslösung hatte Microsoft am Vortag angekündigt , als Zeitrahmen hatte das Unternehmen "einige Tage" genannt. Nun steht sie zum Download bereit . Sie ist in englischer Sprache gehalten und funktioniert nur mit den 32-Bit-Versionen des Internet Explorers. Außerdem müssen zuvor alle bisherigen Updates für den Browser installiert werden.

BSI rät zum Browserwechsel

Die Sicherheitslücke war am Wochenende bekannt geworden. Am Montagabend riet das Bundesamt für Sicherheit in der Informationstechnik (BSI), zum Navigieren im Internet auf andere Browser umzusteigen.

Betroffen sind Computer, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Windows XP, sowie in den Versionen 8 und 9 unter Windows 7 verwenden.

Leserkommentare
    • Zafolo
    • 21. September 2012 11:37 Uhr

    Das Problem ist wesentlich grundsätzlicher.

    Alle Experten stimmen darin überein, dass Sicherheit gegen Angriffe (also "Computer Security") kein Aspekt einer Software ist, den man ihr nachträglich hinzufügen kann. Entweder eine Software ist von Grund auf sicher designt und so entwickelt, dass sie Sicherheit bietet. In diesemn Fall sind durchaus Fehler und Lücken nicht auszuschließen, doch diese werden aufgrund des Konzepts punktuell bleiben und können im Prinzip behoben werden.

    Oder aber es gibt schlicht keine Möglichkeit, das Softwareprodukt sicher zu bekommen. Und dies ist ganz offensichtlich der Fall bei den Microsoft-Produkten. Die fehlende Sicherheitsphilosophie zieht sich durch alle Aspekte durch und ist auch tief in der Nutzerkultur verankert.

    Beispielsweise herrscht unter Windows-Nutzern der Glaube vor, dass man nach einem Befall mit Viren oder eine Malware durch Entfernen der Malware wieder ein sicheres System habe. Dies ist jedoch nicht so. Ein von Malware befallenes System ist technisch kompromittiert, der Anwender hat das System ab dem Zeitpunkt des Virenbefalls nicht mehr unter Kontrolle. Da das Kernsystem und auch z.B. Update-Funktionen verändert sein können, läßt sich dies nicht wieder gut machen. Die einzige Möglichkeit, Sicherheit wiederherzustellen, ist eine vollständige Neuinstallation.

    • Zafolo
    • 21. September 2012 11:39 Uhr

    Eine weitere Konsequenz dieser nicht existenten Sicherheitsphilosophie ist, dass alle Microsoft-Produkte, also auch das neue Windows 8 und Windows PHone 8, davon betroffen sind. Denn alle diese Produkte basieren, der Kompatibilität zuliebe, auf demselben alten NT Kernsystem. Microsoft hat seitdem stets nur Erweiterungen und Verbesserungen der alten Kernsoftware vorgenommen, um die Kompatibilität zu wahren und den "Vendor Lock-In" nicht zu gefährden. Da eine sichere Software jedoch ein vollständiges Neudesign erfordern würde, kann eine neue Windows-Software nicht grundsätzlich sicherer sein als die alten Versionen - sie kann lediglich bekannt gewordene Bugs entfernen.

    Eine Konsequenz dieser Grundtatsachen ist, dass die Sicherheit dieser Produkte dem Internetzeitalter nicht wirklich angemessen ist, denn die alten Konzepte wurden lange entwickelt, bevor Dinge wie E-Mail Standard wurden.

    • Zafolo
    • 21. September 2012 11:44 Uhr

    Zusätzlich hinzu kommt, dass diese Sicherheitsrisiken verheerend zusammenwirken mit der von Microsoft klar angesteuerten Richtung, möglichst viele Nutzerdaten in "Die Cloud" zu verlagern.

    Angenommen zum Beispiel, ich habe ein digitales Foto, das meine beste Freundin bei der Geburt ihres ersten Kindes zeigt - oder auch ein ähnliches sehr persönliches Dokument, das keinesfalls in die öffentliche Sphäre gehört. Wenn dieses Bild sich nun auf meinem Rechner befindet, existiert zwar ein gewisses Risiko, dass dieser unter die Kontrolle einer Malware gerät und meine Daten abhanden kommen. Doch bedeutet es Aufwand, alle diese Daten abzuziehen und zu sichten. Wenn ich aber solche Bilder oder Dokumente in "Der Cloud" speichere, sind diese nur durch Geheimhaltung der Zugangscodes geschützt. Für einen irreversiblen Verlust meiner Verfügungsmacht reicht es, wenn mein PC einmalig für kurze Zeit durch eine Lücke wie die jetzt bekannt gewordene kompromittiert wird und die Passwörter bei der Eingabe automatisch ausgespäht werden. Sehr deutlich wird dies beim Online-Banking, aber letztendlich betrifft dies alle sensiblen Bereiche. Das bedeutet, dass das Cloud-Konzept ein _wesentlich höheres_ Sicherheitsniveau erfordert, als Windows-Software sie heute bietet.

    Sie glauben mir nicht? Sie werden es in wenigen Jahren sehen.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE, dpa
  • Schlagworte Microsoft | EU-Kommission | Europäische Union | Bloomberg | Browser | Computer
Service