Patch für kritischen Explorer-Bug ohne Segen von Microsoft

25.09.2006
Eine Gruppe von Sicherheitsexperten hat einen inoffiziellen Fix für die jüngste Schwachstelle im Internet Explorer (IE) veröffentlicht.

Angesichts zunehmender Attacken auf Basis der in der vergangenen Woche entdeckten VML-Lücke in Microsofts IE und Outlook hat das Zeroday Emergency Response Team (ZERT), eine neue Gruppe von Sicherheitsforschern, einen inoffiziellen Patch veröffentlicht. Ziel des ZERT ist es, eigene Patches herauszugeben, "wenn besonders kritische, noch ungepatchte Fehler zum ernsten Risiko für die Öffentlichkeit und/oder die Infrastruktur des Internets werden". Der Fix ist nicht als Ersatz für einen künftigen Microsoft-Patch zu verstehen, soll verwundbare Systeme aber bis zu dessen Erscheinen schützen.

Hintergrund der Aktion ist, dass ein entsprechender Schutz von Seiten Microsofts möglicherweise noch bis zum nächsten Patch-Day der Gates-Company auf sich warten lassen könnte. Dieser ist für den 10. Oktober angesetzt. Allerdings wächst der Druck auf den Softwarehersteller, einen "Out-of-Cycle"-Patch herauszugeben. So hat das Internet Storm Center des SANS Institute die Alarmstufe für den VML-Fehler mittlerweile von "grün" auf "gelb" erhöht.

Microsoft selbst empfiehlt eine Reihe von Workarounds für das Problem, rät von der Installation des inoffiziellen ZERT-Patches jedoch ab. Zwar sei es großartig, dass es Leute gebe, die Microsoft beim Schutz seiner Kunden unterstützten, Updates von Dritten könne der Hersteller jedoch nicht gut heißen, so Scott Deacon, Operations Manager in Microsofts Security Center, in einem Blog-Eintrag.

Die Idee zu ihrer Formierung erhielt die ZERT-Gruppe durch das Ende vergangenen Jahres entdeckte, kritische Sicherheitsleck in Windows MetaFile: Nachdem Tausende Microsoft-Nutzer Patches von Drittanbietern herunter geladen hatten, um die Lücke zu schließen, sah sich der Softwarehersteller letztendlich dazu gezwungen, einen Vorab-Patch zu veröffentlichen. Analog dazu hoffen die Initiatoren, dass die verbreitete Installation der ZERT-Software Microsoft dazu bringt, sich mit der Bereitstellung eines eigenen Patches zu sputen. (kf)