Normalerweise gibt das IE-Team Sicherheitsupdates für Software-Produkte immer am 2. Dienstag des Monats heraus, so zum Beispiel letzte Woche. Heute hat man außer der Reihe einen zusätzlichen Patch zur Behebung eines Fehlers im Internet Explorer veröffentlicht. Die Lücke wird bereits für Angriffe auf IE8 und IE9 ausgenutzt.
In einem Beitrag im Security-Response-Blog sagt Microsoft, dass das Problem einem Hacker erlaubt, Remote-Code auszuführen, wenn die angegriffene Person mit Internet Explorer eine Webseite besucht, die schädlichen Quelltext enthält. Das IE-Team weist darauf hin, dass es „nur Berichte über eine begrenze Anzahl zielgerichteten Attacken gibt, die sich auf Internet Explorer 8 und 9 beziehen, obwohl das Problem potenziell alle unterstützten Versionen betreffen könnte“.
Zur Behebung hat Microsoft ein Fix-It veröffentlicht (direkter Download Fix-It 51001, 1,02 MB). Mit CVE-2013-3893 MSHTML Shim-Workaround wird die betreffende Sicherheitslücke in allen momentan unterstützten Internet-Explorer-Versionen gestopft. Außerdem empfiehlt Microsoft, dass Sie Ihre Sicherheits-Einstellungen im Webbrowser auf „Hoch“ stellen, um Active-X-Controls und Active Scripting auf Webseiten zu blockieren. Sie sollten IE auch so einstellen, dass Sie vor der Ausführung von Active-Scripting-Funktionen benachrichtigt werden. Die Firma plant, einen kompletten Sicherheitspatch zu veröffentlichen, der dieses Problem bald vollständig beseitigt.