Freigeben über

Verwundbarkeit im Internet Explorer erlaubt Remote Code Execution

  • Artikel

Am 10. Dezember veröffentlichte Microsoft ein Security Advisory zu der Pointer Reference Memory Corruption Vulnerability (CVE-2008-4844). In dem Microsoft Security Bulletin MS08-078 wurde das Problem detalliert beschrieben und mögliche Maßnahmen zur Eingrenzung des Schadpotentials durch zum Beispiel das Aktivieren von Sicherheitstechniken wie DEP und ASLR genannt. Gestern kündigte Microsoft die Bereitstellung eines Patches ausser der Reihe an (Advance Notification for December 2008 Out-of-Band Release).

Dieser Patch steht nunmehr zur Verfügung. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Verwundbarkeit im Internet Explorer kann durch das Besuchen einer mit Schadsoftware präparierten Webseite ohne Benutzerinteraktion ausgenutzt werden und wurde daher von Microsoft mit der Einstufung Kritisch versehen. Weitere Informationen werden in dem Microsoft Security Bulletin Summary for December 2008 aktualisiert zur Verfügung gestellt.

image

Wer das Sicherheitsupdate nicht über Microsoft Update oder Windows Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den Patches für die betroffenen einzelnen Versionen der aktuell unterstützten Produkte:

Update am 19.12.2008

Wir stellen über Microsoft Update und Windows Update auch aktualisierte Pakete für Betaprodukte wie Windows Vista SP2 Beta, Internet Explorer 8 Beta 2 sowie Windows 7 zur Verfügung.

IE3

Diese können auch über den Windows Update Catalog und das Microsoft Download Center direkt heruntergeladen werden:

ACHTUNG: Microsoft bietet jedoch keinen Support für die Kombination verschiedener Betaprodukte wie Vista SP2 Systeme mit IE 8.

Comments

  • Anonymous
    December 18, 2008
    Hallo, nachdem ich mich intensiv auf Microsoft Download umgesehen habe, scheint mindestens eine Variante des Patches zu fehlen. Und zwar für IE8 Beta auf Windows Vista SP2 (bei mir 32Bit). Kommt da noch was oder muss ich mich vom IE8 Beta 2 verabschieden? Viele Grüße Stephan Diesler

  • Anonymous
    December 18, 2008
    Hallo Stephan, den Patch bekommst Du am einfachsten über Windows Update. Ich habe die Liste oben heute etwas aktualisiert. Anscheinend sind aber noch nicht alle Patches auf den auf den Microsoft Download-Seiten publiziert. Vermutlich ein Content Caching-Problem. Über Microsoft Update und Windows Update bekommst Du sie aber angeboten. Ich habe gestern zum Beispiel einen 32bit Vista Ultimate SP2 Beta mit IE8 Beta 2 gepatched. VG, Daniel

  • Anonymous
    December 18, 2008
    Hallo Daniel, laut Windows Update bin ich "auf dem neuesten Stand". Bei unserem internen WSUS verstehe ich das ja, aber ich habe es natürlich auf dem externen von Euch versucht. Wenn Du direkten Zugriff auf die MSU-Datei hättest, wäre ich für einen Link oder so dankbar. Viele Grüße Stephan (stephan.diesler@t-systems.com)

  • Anonymous
    December 18, 2008
    Hallo Stephan, einen direkten Link auf die MSU-Datei habe ich nicht. Du kannst aber die Patches über den Windows Update Catalog auch separat herunterladen. Das ist in dem Artikel "How to download updates that include drivers and hotfixes from the Windows Update Catalog" (http://support.microsoft.com/kb/323166/en-us) näher beschrieben. Wenn Du unter http://catalog.update.microsoft.com/v7/ einmal nach 960714 suchst, kannst Du Dir die Patches auswählen, die Du brauchst und direkt herunterladen: http://catalog.update.microsoft.com/v7/site/Search.aspx?q=960714 Auf diese Art und Weise kann man Patches und vor allem auch Treiber sehr elegant herunterladen. Der Download erzeugt in der Regel CAB-Dateien, die Du mit verschiedenen Entpackern öffnen kannst. Vista kann von Haus aus damit umgehen - da kannst Du einfach mit einem Doppelklick die CAB-Datei öffnen. Der Explorer behandelt sie dann wie ein Verzeichnis. VG, Daniel

  • Anonymous
    December 18, 2008
    Hallo Daniel, selbst unter http://catalog.update.microsoft.com/v7/site/Search.aspx?q=960714 hatte ich schon gesucht, aber da gibt es nichts. Wohl für IE7 unter Vista SP2, aber leider nicht IE8 Beta unter Vista SP2. Aber Danke für den Tipp. VG Stephan

  • Anonymous
    December 18, 2008
    Stop, Stop, ich habs gerade gefunden. Heute Mittag war der noch nicht da. ;-) Danke, Stephan

  • Anonymous
    December 18, 2008
    So, jetzt bin ich völlig durcheinander. Ich hatte nur auf den zweiten Teil des Titels geschaut. War zwar für Vista SP2, aber doch IE7. Also Fazit für meine Umgebung gibt es keinen Patch. VG Stephan

  • Anonymous
    December 18, 2008
    Hallo Stephan, jetzt habe ich selbst mal nach genau der Kombination gesucht und es auch nicht gefunden. Daher habe ich die Frage von Dir mal aufgegriffen und an die verantwortlichen Kollegen weitergegeben. Ich melde mich, wenn ich da ein Update habe. VG, Daniel

  • Anonymous
    December 18, 2008
    Vielen Dank, ich habe gerade noch mal Windows Update versucht und mich gefreut, dass er ein Update gefunden hat. Kam mir abe etwas klein vor und als ich nachgesehen habe was es war, waren es neue Defender-Definitionen... Ich warte dann auf Deine Rückmeldung. Schön, dass ich doch nichts mit den Augen habe. Ich fing schon an zu zweifeln. Kann ich Deine PM haben? Meine steht weiter oben. Da wir dabei sind für ca. 8000 User den OCS einzuführen. Und Kontakte schaden da nie. Bevor wir aufgekauft wurden, hatten wir den LCS 2005 bei gedas laufen. Und nun ist man in der neuen Firma auf den Geschmack gekommen. Viele Grüße, Stephan

  • Anonymous
    December 19, 2008
    Aha... Quote von http://blogs.msdn.com/ie/archive/2008/12/17/ie-december-out-of-band-release.aspx#comments

re: IE December Out-of-Band release

Thursday, December 18, 2008 10:39 AM by Terry McCoy [MSFT] @Jan Dzikowski @Glen Security is the priority here.  If you are running Vista SP2 Beta with IE 8 Beta 2,  I suggest you uninstall one of the two beta products to get a patch that will make you secure.  Vista SP2 Beta was not a released product when IE 8 Beta 2 shipped.  Technical issues prevented us from building a patch for this particular scenario.   Na dann, viele Grüße Stephan

  • Anonymous
    December 19, 2008
    The comment has been removed