Microsoft repariert ältere IE-Versionen außerhalb des Patch-Day
Die Lücke in den Versionen 6 bis 8 des Internet Explorers, über die wir Ende 2012 berichteten und die den Zero-Day-Exploit unter CVE-2012-4792 ermöglichte, ist von Microsoft heute außerhalb des Januar-Patch-Day am 8. Januar geschlossen worden.
Microsoft hatte früh im Januar ein Fix-it-Werkzeug für diese Lücke bereitgestellt. Nach bereits wenigen Tagen wurde jedoch bekannt, dass sich der Fix umgehen lässt. Jetzt hat Microsoft mit einem außerplanmäßigen Patch reagiert, der das Fix-it überflüssig machen und die Lücke völlig schließen soll.
Microsoft sagte dazu gestern in einer Vorankündigung : „Während uns nur eine kleine Anzahl Nutzer bekannt ist, die von dieser Sicherheitslücke betroffen sind, hat sie das Potential, zukünftig mehr Nutzer zu betreffen.“ Microsoft erwähnt außerdem, der Schweregrad der Lücke sei „critical“ und macht nochmal klar, das die Versionen 9 und 10 davon nicht betroffen sind und Nutzer möglichst auf diese Versionen updaten sollte.
Der Patch wird als direkter Download und per Windows Update verteilt. Nach Einspielen des Patches oder dem automatischen Update sollte, falls installiert, der Fix durch das bereitgestellte Uninstall-Werkzeug wieder entfernt werden, da ansonsten der Start des Browsers leicht verzögert würde.