Bill Gates präsentiert den Internet Explorer 4 am 30. September 1997 – diese Version ist von der Sicherheitslücke nicht betroffen. © Reuters

Eine gravierende Sicherheitslücke in Internet Explorer ermöglicht Angreifern den Fernzugriff auf fremde Windows-PCs. Das hat Microsoft am vergangenen Samstag bekannt gegeben. Betroffen sind alle Versionen des Browsers seit 2001, also von 6 bis einschließlich 11. Der Softwarehersteller spricht von "eingeschränkten, zielgerichteten Attacken" von Hackern speziell auf die Internet-Explorer-Versionen 9 bis 11, die als Betriebssystem mindestens Windows Vista voraussetzen.

Theoretisch kann die Sicherheitslücke aber auch in älteren Internet-Explorer-Versionen ausgenutzt werden. Diese laufen unter Windows XP. Für das 2001 erschienene Betriebssystem hat Microsoft den Support kürzlich eingestellt, es gibt also keine Sicherheitsupdates mehr. Auch für aktuelle Windows-Versionen liegt bislang kein Patch vor.

Die Übernahme eines Rechners funktioniert über einen sogenannten Drive-by-Download: Der Angreifer lockt den Benutzer mit E-Mails oder Chat-Nachrichten auf eine präparierte Website. Wenn dabei eine der betroffenen Internet-Explorer-Versionen zum Einsatz kommt, kann die Website im Hintergrund einen Schadcode ausführen. Dieser ermöglicht die totale Kontrolle über das System: Angreifer können Software installieren, Daten auslesen und verändern oder neue Benutzerkonten anlegen, heißt es im Microsoft-Advisory. Die Voraussetzung dafür ist allerdings, dass der betroffene Windows-Benutzeraccount Administratorenrechte hat. Das ist bei Privatanwendern häufig der Fall.

In Europa dominieren längst Firefox und Google Chrome, doch etwa in China, Japan und Südkorea ist der Internet Explorer nach wie vor der meistbenutzte Browser. Laut NetmarketShare kommen die modernen drei Internet-Explorer-Versionen 9 bis 11 weltweit auf einen Marktanteil von rund 25 Prozent – ein Viertel der Internetnutzer weltweit sind also auf diesem Wege angreifbar.

Microsoft und der Sicherheitsdienstleister FireEye empfehlen, das sogenannte "Enhanced Protected Mode" im Internet Explorer 10 und 11 zu aktivieren sowie das Enhanced Mitigation Experience Toolkit einzusetzen. Bevor ein Patch für moderne Windows-Versionen vorliegt, ist der Einsatz eines alternativen Browsers wie Firefox, Chrome oder Opera die einfachere Lösung. Im Gegensatz zu Großkunden haben private Nutzer von Windows XP ohnehin keine andere Wahl – mit einem Patch für die Sicherheitslücke dürfen sie nicht rechnen.