Edge: Verwundbarer Kompatibilitätsmodus für Internet Explorer

In den vergangenen Jahren hat Microsoft den als langsam und tendenziell unsicher geltenden Internet Explorer (IE) durch Microsoft Edge abgelöst. Im Zuge der schrittweisen Abschaffung des IE wurde dieser zwischenzeitlich durch Windows-Updates weitgehend entfernt. Dennoch gibt es bis voraussichtlich 2029 den sogenannten Internet Explorer-Modus (IE-Modus), der in Edge für spezifische Webseiten aktiviert werden kann. Jede Webseite, die mit Edge aufgerufen wird, kann im IE-Modus neu geladen werden.

Der IE-Modus gilt zwar als insgesamt sicherer als der abgelöste Internet Explorer selbst, ist aber eher als Behelfslösung und nicht als Standardoption zu verstehen. Denn darin angezeigte Seiten werden mit einer alten Browser-Engine geladen. Außerdem stehen veraltete (und anfällige) Technologien wie ActiveX-Steuerelemente zur Verfügung.

Dieser Kompatibilitätsmodus wird zunehmend zum Sicherheitsrisiko, da vermehrt entsprechende Angriffsmethoden auftauchen. Diese bauen darauf auf, dass Nutzer bestimmte Seiten im IE-Modus laden. So hat Microsoft am Dienstag, 13. August 2024, eine einschlägige Schwachstelle gepatcht. Dabei reichte ein einfacher Klick auf einen präparierten Link aus, um Speicherfehler in der Scripting-Engine zu verursachen und somit beliebigen (Schad-)Code auszuführen.

Für CVE-2024-38178 sind laut Microsoft schon Exploits beobachtet worden, wodurch bei verfügbarem IE-Modus ein potenzielles Sicherheitsrisiko besteht. Wenn Besucher präparierter Webseiten die Seite im IE-Modus neu laden, werden sie verwundbar für solche Exploits. Dies ist ein plausibles und relevantes Angriffsszenario, wie von diversen erfolgreichen Social-Engineering-Taktiken immer wieder unter Beweis gestellt wird.

Andere, langjährig etablierte Browser sollten jeglichen Browserbedarf abdecken. Unternehmen und Einzel-User sollten deshalb in Erwägung ziehen, auf den IE-Modus zu verzichten oder ihn von vornherein zu deaktivieren.

Zur dauerhaften Lösung des Problems deaktivieren Sie den IE-Modus. Außerdem sollten Sie Updates, die Schwachstellen in Zusammenhang mit dem IE-Modus beheben, schnellstmöglich installieren.