Sicherheitslücken im Internet Explorer - Microsoft sperrt sich gegen Update

Auch wenn es zahlreiche Alternativen zum Internet Explorer gibt, erfreut sich der Microsoft-Browser weiterhin großer Beliebtheit.

Es gehörte bislang nicht zu den Gewohnheiten der Mitarbeiter der HP Zero Day Initiative, Sicherheitslücken öffentlich zu machen. Üblicherweise werden die betroffenen Unternehmen angeschrieben und auf die Lücken hingewiesen. In vielen Fällen werden die gefundenen Sicherheitslücken dann auch in mehr oder weniger kurzer Zeit geschlossen.

Als die HP-Mitarbeiter allerdings Microsoft wegen einer bereits 2014 entdeckten Sicherheitslücke im Internet Explorer ansprachen, schaltete der Betriebssystemgigant auf stur. Als die Lücke nach der üblichen Frist von 120 Tagen immer noch nicht geschlossen wurde, gaben die Sicherheitsexperten die Lücke bekannt, nannten aber keine weiteren Details dazu.

Daraufhin teilte Microsoft den HP-Mitarbeitern mit, die gefundenen Lücken nicht schließen zu wollen. Die Begründung: 64-Bit-Installationen des Internet Explorer wären bereits ausreichend gegen einen Missbrauch der Lücke gesichert, zudem habe die Mitte 2014 eingeführte MemoryProtection zu einer spürbar niedrigeren Missbrauchsrate beim Internet Explorer geführt.

Problematisch für die Mitarbeiter der Zero Day Initiative: Betroffen ist weiterhin die 32-Bit-Version des Internet Explorers, die auf vielen Rechnern aktiv genutzt wird und dank Microsoft angreifbar bleibt. Auch wenn Microsoft die Probleme, die mit einem Fehler in der Address Space Layout Randomization (ASLR) zu tun haben, nicht sonderlich ernst zu nehmen scheint würden wir von der Nutzung des Internet Explorers in der 32-Bit-Version generell abraten. Eine genauere Beschreibung des Bugs liefert die ZDI in einem Whitepaper.