Microsoft bleibt hart: Kein Patch für kritische IE-Lücke in Windows 7

Vor kurzem ist die Ära Windows 7 zu Ende gegangen, zumindest was den Support betrifft. Seither gilt: Sicherheits- und Bugfixes gibt es nur noch für Unternehmen und gegen Bezahlung. Prompt tauchte eine kritische Lücke auf und die wird auch nicht für die Allgemeinheit geschlossen. Am Wochenende berichteten wir, dass Microsoft vor einer Lücke im Internet Explorer warnt, genauer gesagt handelt es sich um eine Zero-Day-Schwachstelle in JScript. Betroffen sind davon Windows 7, Windows 8.x und Windows 10 sowie Windows Server 2008 und Windows Server 2012.

Zwar ist der Internet Explorer nun wirklich kein Browser, den Otto-Normal-Surfer noch nutzen sollte, in so manchen Firmen ist er aber aufgrund spezieller Software noch im Einsatz. Weil das Bekanntwerden dieser kritischen Lücke aber so nahe am Support-Ende-Datum liegt, dachte so mancher, dass Microsoft doch eine Ausnahme macht und einen passenden Patch veröffentlicht.

Doch der Redmonder Konzern bleibt hart und wird natürlich die unterstützten Betriebssysteme patchen, aber nicht Windows 7 für die Allgemeinheit. Das bedeutet, dass diese Sicherheitslücke nur noch bei jenen Unternehmen gestopft wird, die bei Microsoft für Extended Security Updates bezahlen.

Microsoft: Sicherheit ist gleich Upgrade

Gegenüber BetaNews ließ Microsoft ausrichten, dass man den Kunden gerne beim Thema Sicherheit helfe, das bedeutet aber ein Modernisieren der Systeme und einen Wechsel zu Windows 10. Die Redmonder beteuerten aber auch, dass man das Erreichen des End of Support-Zeitpunktes auch einhält und keine Ausnahmen macht.

Wer auf den IE (aus welchen Gründen auch immer) nicht verzichten will, der muss zu Selbstgestricktem greifen. Eine Möglichkeit ist der Drittanbieter 0Patch, hinter dem das slowenische Unternehmen Acros Security steht. Dieses hat bereits einen Micropatch veröffentlicht, dabei handelt es sich um einen Workaround bzw. Kill Switch für die anfällige jscript.dll.