27.09.2006: Außerplanmäßiger Patch MS06-055 für Sicherheitslücke im Internet Explorer 6

Vor kurzem sind zwei neue, besonders kritische Sicherheitslücken im Internet Explorer bekannt geworden, für die auch bereits schon Exploits aktiv im Umlauf sind. Es ist möglich, sich (ohne Nutzerinteraktion!) allein beim Besuch einer präparierten Webseite zu infizieren. Unter Umständen reicht das Einblenden eines Werbebanners. Es werden wohl auch Grußkarten oder Pornoseiten benutzt, um Anwender auf präparierte Webseiten weiterzuleiten.

Aufgrund des hohen Risikos hat Microsoft für eine der beiden Lücken (in den VML-Funktionen des IE) bereits einen außerplanmäßigen Patch (MS06-055) herausgegeben. Dieser sollte von jedem Anwender möglichst umgehend entweder über das Online-Update von Windows oder manuell aufgespielt werden. Er betrifft jedoch nur den Internet Explorer 6, nicht die neue Version 7. Der direkte Download für Windows XP mit SP2 ist hier, der für Windows 2000 mit SP4 dagegen hier.

Wer wie neulich in einem Newsletter empfohlen die alte, betroffene "vgx.dll" deregistriert hatte, kann Sie nach dem Aufspielen des Patches mit dem Befehle wieder registrieren. Dazu die folgende Befehlszeile unter "Ausführen" im Startmenü eingeben: regsvr32 "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll".

Da die zweite Lücke des IEs aber weiter ungestopft bleibt, empfiehlt es sich dringend, bis zum Erscheinen des entsprechenden Patches mit Firefox oder Opera zu surfen. Insbesondere auf Webseiten, deren Sicherheit zweifelhaft ist.

Nachtrag: Wie eben schon erwähnt, verweigert das Patch beim Internet Explorer 7 die Installation. Die betroffene Datei (vgx.dll) ist beim IE7 von einer neueren Version und daher vermutlich nicht von der Sicherheitslücke betroffen. Weitere Informationen dazu hier.