Sicher­heits­lücke im IE

Und wieder grüßt das Mur­meltier – eine weitere Sicher­heits­lücke im IE.
Für den Anwender ist es mit stei­gender Bedeutung des Internet zunehmend schmerz­licher, dass er trotz all dem tech­ni­schen Fort­schritt immer noch selbst in der Pflicht ist.

Nun ist es also wieder so weit. Sie erinnern sich? Das letzte Mal ist auch noch gar nicht so lange her: genau 3 Monate (Aktuelle Sicher­heits­lücke im IE).

Aber keine Angst. Am 21.12.2012 ist die Welt nicht unter­ge­gangen – und wird es auch jetzt nicht. Mit etwas Abstand betrachtet ist es auch nur eine Lücke unter vielen. Und gleich die gute Nach­richt, es trifft nur die alten Ver­sionen des Internet Explorers; die neueren Ver­sionen 9 und 10 sind nicht betroffen.

Gut, besonders beliebte Pro­gramme werden natürlich deutlich häu­figer heim­ge­sucht, das bedeutet jedoch nicht auto­ma­tisch, dass die anderen Pro­gramme weniger Fehler/Sicherheitslücken beinhalten.

Viele Anbieter haben bereits aus­ge­feilte Updateme­cha­nismen in ihre Pro­gramme ein­gebaut – aber eben noch nicht alle. Und bei manchen bekannt gewor­denen und aus­ge­nutzten Lücken gibt es eben nicht immer gleich eine Pro­blem­lösung. Zudem ist mancher Her­steller gar dazu über­ge­gangen Software-Updates für seine Hardware nach 2 Jahren gänzlich ein­zu­stellen.

Letztlich bleibt aber die Ver­ant­wortung für die Sicherheit seiner Geräte bei jedem Ein­zelnen, der ein Stück Software instal­liert und nutzt – auch wenn PC, Internet und mobile End­geräte bereits selbst­ver­ständlich sind.

Für den ein oder anderen könnte es aller­dings recht dra­ma­tisch werden. Wer bei­spiels­weise noch das ver­altete Betriebs­system XP nutzt, kann nicht auf die Ver­sionen 9 und 10 des IE aus­weichen. Und muss ent­weder das Fix-IT Tool (s.u.) aus­führen, seine aktiven Kom­po­nenten im IE deak­ti­vieren oder auf einen Alter­na­tiven Browser aus­weichen. Welche Funk­ti­ons­ein­schrän­kungen durch das Fix-IT oder die manuelle Kon­fi­gu­ration auf­treten, muss aller­dings aus­pro­biert werden.

Wenn aller­dings über solche Lücken hinaus noch ein paar weitere Sicher­heits­mängel vor­liegen und bei­spiels­weise der neue Dia-Scanner von Tchibo ange­schlossen wird, könnte Con­ficker eine Renais­sance erleben. Der wurde nämlich im Weih­nachts­ge­schäft mit einem Virus aus­ge­liefert.

Wer Sicherheit groß schreibt, muss regel­mäßig für alle(!) instal­lierten Pro­gramme nach einem Sicher­heits­update (Siehe Blog-Beitrag Updates und Patches) Aus­schau halten. Denn: Sobald eine Lücke bekannt ist, kann sie prak­tisch von jedem aus­ge­nutzt werden, da die Tools im Internet ver­fügbar sind.

Und hier beginnt ein wei­teres Problem für Unter­nehmen, die über keine Benut­zer­ver­waltung und Soft­ware­richt­linie ver­fügen: Welche Software ist denn über­haupt instal­liert? Bzw.: Wer darf Software denn instal­lieren?

Mit einem Blick auf die letzte Sicher­heits­studie des DsiN liegt der Anteil derer, die über keine Benutzer- und Rech­te­ver­waltung ver­fügen bei ca. 30 %. Eine beträcht­liche Anzahl. Hier bleibt zu hoffen, dass die­je­nigen, die instal­lieren können, auch genügend Ahnung von der Kon­fi­gu­ration ihres Viren­scanners und dem Durch­führen von Updates besitzen.

Und für all die­je­nigen, die noch eine Lösung benö­tigen:

Microsoft emfiehlt, den Internet Explorer ab der Version 9 zu ver­wenden. Ist dies nicht möglich, wäre ein Alter­na­tiv­browser oder das von Microsoft zur Ver­fügung gestellte Fix it zu nutzen. Ein umfas­sendes Sicher­heits­update folgt, der Termin steht noch nicht fest.

Bild:  © Günter Havlena / pixelio.de