IE-Lücke: "Fix-it"-Patch wurde offenbar ausgehebelt

Nachdem Ende des letzten Jahres eine als äußert kritisch anzusehende Sicherheitslücke im Internet Explorer gefunden wurde, für die es noch kein offizielles Update gibt, veröffentlichte Microsoft jüngst einen Fix-it-Patch. Wurde dieser besagte Patch auf den Systemen der Anwender ausgeführt, so soll sich die zugehörige Schwachstelle nicht mehr ausnutzen lassen. In diese Richtung gehen jedenfalls die Einschätzungen von Microsoft. Mit einer ganz anderen Meinung blicken hingegen die Sicherheitsexperten von 'Exodus Intelligence' auf den Sachverhalt.

Ihren eigenen Angaben und Untersuchungen zufolge war es möglich, diesen angesprochenen Fix-it-Patch erfolgreich zu umgehen. Konkrete technische Informationen gingen diesbezüglich nur an die hauseigenen Kunden. Mit der Öffentlichkeit teilte man die konkreten Details nicht.

Innerhalb von einem Tag habe man eine Möglichkeit mittels Reverse-Engineering gefunden, wie man den Patch umgehen kann. Die Entwickler aus Redmond will man über diesen Sachverhalt informieren. Dustin Childs von Microsoft betonte im Gespräch mit TheNextWeb, dass dem Unternehmen die Sicherheit der Anwender sehr wichtig ist. Aus diesem Grund habe man bereits versucht, mit den Sicherheitsforschern in Kontakt zu treten.

Schon der Besuch einer entsprechend manipulierten Webseite reicht aus, um die Schwachstelle erfolgreich ausnutzen zu können. Betroffen sind dem aktuellen Kenntnisstand zufolge alle Versionen des Internet Explorers (IE) von Microsoft bis zur Version 8.

In der kommenden Woche findet bei den Entwicklern aus Redmond wieder der allmonatliche Patch-Day statt. Insgesamt werden mit den geplanten sieben Security-Bulletins diverse Probleme und Sicherheitslücken in Anwendungen und Betriebssystemen von Microsoft geschlossen. Es ist allerdings nicht davon auszugehen, dass auch die besagte Lücke im Internet Explorer im Rahmen des Patch-Days geschlossen wird.