Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution

Published 17 December 08 07:17 PM | dmelanchthon 

Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability (CVE-2008-4844). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen zur Eingrenzung des Schadpotentials durch zum Beispiel das Aktivieren von Sicherheitstechniken wie DEP und ASLR genannt. Gestern kündigte Microsoft die Bereitstellung eines Patches ausser der Reihe an (Advance Notification for December 2008 Out-of-Band Release).

Dieser Patch steht nunmehr zur Verfügung. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Verwundbarkeit im Internet Explorer kann durch das Besuchen einer mit Schadsoftware präparierten Webseite ohne Benutzerinteraktion ausgenutzt werden und wurde daher von Microsoft mit der Einstufung Kritisch versehen. Weitere Informationen werden in dem Microsoft Security Bulletin Summary for December 2008 aktualisiert zur Verfügung gestellt.

image

Wer das Sicherheitsupdate nicht über Microsoft Update oder Windows Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den Patches für die betroffenen einzelnen Versionen der aktuell unterstützten Produkte:

Update am 19.12.2008

Wir stellen über Microsoft Update und Windows Update auch aktualisierte Pakete für Betaprodukte wie Windows Vista SP2 Beta, Internet Explorer 8 Beta 2 sowie Windows 7 zur Verfügung.

IE3

Diese können auch über den Windows Update Catalog und das Microsoft Download Center direkt heruntergeladen werden:

ACHTUNG: Microsoft bietet jedoch keinen Support für die Kombination verschiedener Betaprodukte wie Vista SP2 Systeme mit IE 8.

Comments

# Alex said on December 18, 2008 1:40 PM:

Hallo, ich nutze Vista Home Premium 64bit inkl SP2 Beta v.113 inkl. IE 8 Beta 2. Kein Patch der hier zu Verfügung gestellt wird ist für mich richtig. Immer kommt die Meldung, dass deser Patch für mein System nicht geignet ist. Wenn ich Windows Update starte heisst es, keine Update verfügbar. das letzte Update wurde am 9.12. installiert. Gibt es kein Patch für mein System? Ich bitte um antwort, danke

# dmelanchthon said on December 19, 2008 4:51 AM:

Hallo Alex,

wir supporten aus technischen Gründen nicht die Kombination verschiedener Betaprodukte. Du solltest entweder IE8 Beta 2 oder Vista SP2 Beta deinstallieren. Dann bekommst Du den Patch für entweder IE7 auf Vista SP2 Beta oder für IE8 Beta 2 auf Vista SP1 (oder RTM) automatisch von Windows Update angeboten.

VG, Daniel

# Glücklich said on January 5, 2009 4:02 AM:

Zum Glück verwende ich Firefox^^

# dmelanchthon said on January 7, 2009 11:06 AM:

Zum Glück wissen wir das jetzt auch. Was wäre die Welt wohl ohne diesen Hinweis ;-)

New Comments to this post are disabled

About dmelanchthon

Daniel Melanchthon arbeitet als Senior Security Evangelist in der Developer Platform & Strategy Group bei der Microsoft Deutschland GmbH. Sein Aufgabenbereich umfasst neben den Spezialgebieten Security und Unified Communications die Windows Server- und Client-Plattform. Vor seinem Einstieg bei Microsoft im Februar 2005 arbeitete er mehr als zehn Jahre als Systemadministrator, Berater und IT-Projektleiter schwerpunktmäßig mit dem Windows Server System und Umgebungen im Unix-Umfeld.

Search

This Blog

Syndication

Impressum

Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in diesem Blog keine Haftung übernehmen.

Page view tracker