Sicherheitsupdates für Internet Explorer und FireFox

Es ging ja zwischenzeitlich durch die Tagespresse - und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte vor der Verwendung des Internet Explorer. Grund ist eine Sicherheitslücke in den Data-Binding-Funktionen des Internet Explorer, die zum Einschleusen von Schadcode genutzt werden kannt.

Nachdem eine steigende Zahl an Webservern mit Schadcode für den Internet Explorer infiziert wurde, hat Microsoft am 17. Dezember reagiert und einen Patch für die gängigen Versionen des Internet Explorer und aktuell im Support befindlichen Windows-Versionen bereitgestellt. Allen Windows-Anwendern sei die Aktualisierung des Systems ans Herz gelegt (auch wenn vielleicht ein anderer Browser zum Surfen verwendet wird), da u. U. bestimmte Systemfunktionen auf die Data-Bindig-Dienste der IE-Komponenten zugreifen. Update für Windows - viele Wege führen nach Rom

Nutzern von Windows XP (und Windows Vista sowie Windows Server 2008) sollte der Patch über Windows-Update bereitgestellt werden. Bei Windows XP ist jedoch Voraussetzung, dass mindestens Service Pack 2 installiert ist. Wer mit Windows Vista unterwegs ist (bei Netbooks nicht unbedingt der Standardfall), benötigt (nach meinen Tests) ein installiertes Service Pack 1, damit der Patch 960714 über Windows-Update bereitgestellt wird.

(Auf Produktivsystemen oder Netbooks dürfte Windows Vista mit Service Pack 2 keine Rolle spielen, da sich das SP2 noch in der Beta-Testphase befindet. Wer das Service Pack 2 zum Test installiert hat, sollte zur Sicherheit Windows-Update aufrufen und manuell überprüfen lassen, ob alle Patches installiert sind. Bei der, auf Produktivssystemen eigentlich auch nicht vorkommenden, Kombination "Windows Vista SP2/Beta und Internet Explorer 8/Beta" meldet Windows Update nach meinen Beobachtungen - Stand 18.12.2008 - ein aktuelles System - obwohl der betreffende Patch nicht installiert ist.)

Anwender, die das automatische Windows-Update bei Netbooks mit Windows XP abgeschaltet haben - was bei zeit- oder volumenabhängig abgerechneten Internetzugängen durchaus Sinn macht - können unter Windows XP die Webseite update.microsoft.com besuchen und das System auf fehlende Updates überprüfen lassen.

Wer jedoch mehrere Windows-Systeme aktualisieren möchte bzw. will, wird ggf. besser mit der Microsoft Internetseite Microsoft Security Bulletin MS08-078 bedient sein. Auf der betreffenden Webseite veröffentlicht Microsoft nicht nur Hinweise zum Sicherheitsupdate 960714, sondern stellt auch die Links zu den direkten Download-Seiten für die verschiedenen Browser- und Betriebssystemvarianten bereit. Die so heruntergeladenen .exe-Dateien (ca. 2,5 MByte) lassen sich bei Bedarf mehrfach auf passenden Systemen installieren. Firefox-Anwender: Kein Grund zur Schadenfreude

Benutzer des FireFox-Browsers sind zwar vom Zero Day-Exploit des Internet Explorer nicht betroffen. Trotzdem ist auch dieser Browser vor Sicherheitslücken nicht gefeit. Dies gilt speziell für die auf vielen Linux-Netbooks vorinstallierten FireFox 2.x-Versionen. Auf der Mozilla-Webseite stehen Links bereit, um die aktuellste Variante des FireFox in der lokalisierten Fassung herunterzuladen. Interessierte Benutzer finden zudem bei heise.de einen Artikel mit Hinweisen und Links hinsichtlich der aktuell (Stand 17.12.2008) geschlossenen Sicherheitslücken. Besitzer von Netbooks mit Xandros (Eee PC) oder Linpus Lite (Acer Aspire One), die den FireFox ggf. auf die Version 3.x aktualisieren möchten, finden in meinem Blog einige Hinweise, was beim Aktualisieren zu beachten ist. Allerdings empfiehlt sich vorher eine Systemsicherung, da zumindest bei meinen Tests diverse Probleme beim Update auf die Version 3 des FireFox auftraten.

Günter Born (Literatur zu Netbooks: Windows, Linux, Eee PC)

Günther Born