Der Internet Explorer ist noch immer nicht tot. Jedenfalls nicht richtig. Angreifer nutzen seit August 2025 aktiv Zero-Day-Schwachstellen in der veralteten Chakra-JavaScript-Engine aus. Jetzt hat Microsoft reagiert und den IE-Kompatibilitätsmodus in Edge grundlegend umgebaut. Wie das Edge-Sicherheitsteam mitteilt, kombinierten die Angreifer Social Engineering mit einer Exploit-Kette, um vollständige Kontrolle über Zielsysteme zu erlangen.

Der IE-Modus ermöglicht es Edge-Nutzern, Webseiten in der alten Internet-Explorer-Umgebung zu laden – gedacht für Legacy-Anwendungen, die auf veraltete Technologien wie ActiveX oder Flash angewiesen sind. Obwohl der Internet Explorer am 15. Juni 2022 offiziell sein Lebensende erreichte, bleibt der Kompatibilitätsmodus für Unternehmensanwendungen und Behördenportale verfügbar. Es ist nicht das erste Mal, dass Überreste des als Sicherheitsrisiko verrufenen Microsoft-Browsers zum Sicherheitsproblem werden.

In drei Schritten zur Systemübernahme

Die aktuelle Angriffskette begann mit gefälschten Webseiten, die legitime Dienste imitierten. Über ein Flyout-Element forderten die Angreifer ihre Opfer auf, die Seite im IE-Modus neu zu laden. Dort nutzten sie zunächst eine ungepatchte Schwachstelle in der Chakra-Engine für das Einschleusen und Ausführen von Schadcode (Remote Code Execution). Ein zweiter Exploit ermöglichte anschließend den Ausbruch aus dem Browser heraus, um das gesamte System zu kompromittieren (Privilege Escalation).

Microsoft hat dazu weder CVE-Nummern veröffentlicht noch einen expliziten Patch für die Chakra-Lücke bereitgestellt. Stattdessen entfernte das Unternehmen als Antwort auf die Angriffe kurzerhand alle einfachen Zugangswege zum IE-Modus: Die dedizierte Toolbar-Schaltfläche, der Kontextmenü-Eintrag und die Option im sogenannten Hamburger-Menü sind verschwunden. Ob das im September veröffentlichte Kumulative Update für IE die Sicherheitslücken selbst beseitigt, ist somit weiterhin unklar.

Umständlicher Weg als Sicherheitsmaßnahme

Wer den IE-Modus künftig nutzen möchte, muss ihn explizit in den Edge-Einstellungen unter edge://settings/defaultBrowser aktivieren und jede einzelne URL manuell zu einer Allowlist hinzufügen. Erst nach einem Browser-Neustart können die gelisteten Seiten im IE-Modus geladen werden. Microsoft setzt darauf, dass dieser umständliche Prozess Nutzern mehr Zeit gibt, gefälschte URLs zu erkennen und die Entscheidung bewusster zu treffen.

Für Unternehmenskunden mit zentral verwalteten IE-Modus-Richtlinien ändert sich nichts – sie können den Kompatibilitätsmodus weiterhin per Group Policy konfigurieren. Microsoft betont jedoch erneut, dass Organisationen ihre Migration von Legacy-Technologien beschleunigen sollten, um von den Sicherheitsarchitekturen moderner Browser zu profitieren. Wer Wert auf Sicherheit legt, lässt den IE abgeschaltet.

Die Entscheidung, als Reaktion auf akute Angriffe anstelle dezidierter Patches den Zugang zu beschränken, ist bemerkenswert. Offenbar hält selbst Microsoft Internet Explorer für nicht mehr wartbar und das Risiko weiterer Zero-Days für zu hoch. Dass ein offiziell seit fast drei Jahren totes Produkt noch immer als Angriffsvektor dient, illustriert das Dilemma der Abwärtskompatibilität: Was als Brücke für den Übergang gedacht war, wird zur dauerhaften Sollbruchstelle. Unternehmen, die 2025 noch auf ActiveX-Steuerelemente angewiesen sind, sollten diese Warnung als letzten Weckruf verstehen.

(ju)

Erst kürzlich wurden Ransomware-Erpressungsversuche publik, die sich gegen Nutzer von Oracles E-Business-Suite richteten. Das Einfallstor der Angreifer: die als kritisch bewertete Zero-Day-Sicherheitslücke CVE-2025-61882 (CVSS-Score 9.8), über die eine Codeausführung aus der Ferne (Remote Code Execution) möglich war. Oracle veröffentlichte daraufhin ein Notfall-Update, das die verwundbaren E-Business-Versionen abdichtete.

Jetzt hat das Unternehmen eine weitere Schwachstelle gefunden und erneut einen Sicherheits-Patch außer der Reihe bereitgestellt. Der Lücke CVE-2025-61884 wurde ein CVSS-Score von „High“ (CVSS-Score 7.5) zugewiesen.

Verwundbar sind, wie schon im Falle der „Vorgängerin“, die E-Business-Suite-Versionen 12.2.3 bis einschließlich 12.2.14. Details und Links zum Update liefert Oracles Sicherheitshinweis zu CVE-2025-61884. Nutzer der verwundbaren Versionen sollten auch diesen (unabhängigen) Patch nach Oracles Empfehlung so zeitnah wie möglich anwenden.

Updaten & wachsam bleiben

Die im Vergleich zu CVE-2025-61882 niedrigere Risikoeinstufung sowie die Tatsache, dass via CVE-2025-61884 wohl keine direkte Codeausführung möglich ist, sollte Anwender keinesfalls dazu bringen, sich in falscher Sicherheit zu wiegen. Denn immerhin kann die Lücke laut Oracle unter bestimmten Voraussetzungen von entfernten, nicht authentifizierten Angreifern missbraucht werden, um auf sensible Daten zuzugreifen. Das könnte sie für erpresserische Angreifer, die gern auch mehrere Schwachstellen miteinander kombinieren, durchaus interessant machen.

Zu aktiven Angriffen oder Exploit-Code, wie er für CVE-2025-61882 in freier Wildbahn kursiert, ist bezüglich CVE-2025-61884 noch nichts bekannt.

Vor dem Hintergrund, dass die aktuellen Erpressungsversuche nach Schätzungen von Googles Sicherheitsexperten Hunderte, wenn nicht gar Tausende Unternehmen betreffen, sollten Anwender der E-Business-Suite generell wachsam bleiben. Denn es ist nicht unwahrscheinlich, dass Oracle im Zuge aktueller Codeanalysen noch weitere Schwachstellen patchen und publik machen wird – und dass zugleich auch die Cybergangster nach verwandten Angriffsmöglichkeiten Ausschau halten.

(ovw)

Heute ist der letzte Tag des Supports für das Betriebssystem Windows 10. Der Anbieter Microsoft empfiehlt einen Umstieg auf Windows 11. Eine Gnadenfrist gibt es für Windows-10-Geräte noch, wenn man sich für das Programm Extended Security Updates (ESU) registriert. Aber auch dieses Programm endet unweigerlich, nämlich am 13. Oktober 2026.

Windows-10-Nutzer stehen vor einem Problem: Nach Ablauf des Software-Supports durch Microsoft erhalten sie keine Sicherheitsupdates mehr und werden dadurch unweigerlich mit erheblichen Sicherheitsproblemen konfrontiert. Denn längst nicht jeder Computer ist für ein Update auf Windows 11 tauglich. Millionen Menschen müssen daher eigentlich voll funktionsfähige Computer ersetzen, wenn sie die hohen Anforderungen des Updates nicht erfüllen.

Aber Microsoft ist nicht alternativlos. Wer sich von Windows verabschieden und dem Open-Source-System Linux schon immer mal eine Chance geben und es ausprobieren wollte, hat gerade viele Möglichkeiten, sich dabei helfen zu lassen. Denn weil das zeitliche Ende von Windows 10 gekommen ist, bieten sich mehr Gelegenheiten als sonst, dabei praktische Hilfe zu bekommen.

Das liegt an Menschen wie Harald Reingruber. Er hat Informatik an der TU Wien studiert und kümmert sich beruflich um die Entwicklung von 3D-Visualisierungsmodulen für Krankenhaussoftware. Er hilft außerdem dabei, ältere Hardware wieder benutzbar zu machen, und organisiert mit weiteren Helfern ein Repair-Café in Oberösterreich. Und er engagiert sich bei der Kampagne „End of 10“, die Umstiegswillige unterstützt, wenn sie ihren Computern mit Linux eine erste oder zweite Chance geben wollen.

Wir haben mit Harald Reingruber über den Umstieg auf Linux und über die Initiative „End of 10“ gesprochen. Er erzählt, wie er solche Veranstaltungen zur Umstiegshilfe gestaltet und was typische Fragen sind. Wie fragen ihn auch, was die Motivationen der Menschen sind, die Windows hinter sich lassen wollen.

Was ist „End of 10“?

netzpolitik.org: Harald Reingruber, wie kamst Du zu der Initiative „End of 10“ und was machst Du dabei?

Harald Reingruber: Ich bin dazugestoßen über ein Reparatur-Initiativen-Netzwerk in Deutschland. Dort war ein Webinar darüber ausgeschrieben worden, wie man mit Linux das Windows-10-Update-Problem lösen kann für die Computer, die Windows 11 nicht unterstützen. Das war speziell für Repair-Cafés, denn das ist deswegen ein Thema, weil mit Ende von Windows 10 viel Elektroschrott auf uns zukommt.

So bin ich dazugestoßen und habe gesehen, wie man mitmachen kann, und mich in den Community-Chat reingehängt. Ich habe angefangen, Workshops für Repair-Cafés zu planen, und bin dann gefragt worden, ob ich mitmachen will. So bin ich da reingewachsen, das hat super gepasst.

netzpolitik.org: Wer steckt hinter der Initiative „End of 10“?

Harald Reingruber: Angestoßen wurde sie von KDE Eco, einer Gemeinschaft von Leuten, die Freie Software unterstützen. „End of 10“ ist Distro-unabhängig, also offen für verschiedene Linux-Varianten. Es ist der Versuch, aus dem ganzen Free-Software- und Linux-Umfeld die Kräfte zusammenzuziehen. Wir geben keine speziellen Distro-Empfehlungen ab.

netzpolitik.org: Wenn Du in einem Repair-Café Leuten Hilfe zum Umstieg auf Linux anbietest, wie gehst Du vor?

Harald Reingruber: Meistens erkläre ich ihnen, wenn sie es nicht ohnehin schon wissen, dass und warum ihr Computer nicht für Windows 11 geeignet ist. Manche interessieren sich aber einfach nur für Linux, das kommt auch manchmal vor. Ich versuche dann auch, schnell einmal ein Linux vom USB-Stick zu booten. Das ist ja das Geniale, dass man das schnell zeigen kann.

Das Erklären ist sonst oft abstrakt. Viele haben schon mal von Linux gehört, aber können sich nicht wirklich was darunter vorstellen. Man kann es in ein paar Minuten einfach direkt am Laptop sehen, dann bekommt das eine ganz andere Dimension.

netzpolitik.org: Wie vielen Leuten gleichzeitig kannst Du Hilfe anbieten?

Harald Reingruber: Wir schauen, dass es immer nur so eine Handvoll Teilnehmer sind. Je nachdem, wie die Gruppe drauf ist, schauen wir uns zwei oder drei verschiedene Distros an, also Linux-Varianten. Manche Distros haben sich schon herauskristallisiert, weil sie speziell für Windows-Umsteiger praktisch sind und auch gut funktionieren auf verbreiteter Hardware.

Ich versuche meistens, gleich einen Eindruck davon zu geben. Das hat für viele einen Wow-Effekt, dass man einfach einen USB-Stick ansteckt und dann läuft das auf ihren Rechnern und hat nichts mit dem Windows zu tun, was dort installiert ist. Manche sind überrascht, dass die Unterschiede weniger krass sind, als sie erwartet haben. Es gibt ja viele Mythen um Linux. Viele sind auch positiv überrascht, dass auch LibreOffice ziemlich vertraut wirkt.

„Fast nur Linux Mint“

netzpolitik.org: Welche Distros, also Varianten von Linux, empfiehlst Du Menschen, die gewöhnt sind, Windows zu benutzen?

Harald Reingruber: Wir haben in meinem Repair-Café fast nur Linux Mint installiert. Das hat einige Vorteile, denn es ist stark verbreitet. Das heißt, man findet leicht jemanden, der Erfahrung damit hat. Und die Oberfläche ist sehr intuitiv, die Installationsprozesse sind relativ einfach.

Linux Mint läuft auch auf älteren Geräten überraschend gut. Wenn nicht, würde ich eine MX-Linux-Variante ausprobieren. Nach dem Booten vom USB-Stick kann man einen Browser mit einer etwas anspruchsvolleren Website öffnen. Dann hat man normalerweise schon einen guten Eindruck.

netzpolitik.org: Wenn die Leute dann einen Blick auf Linux Mint oder eine andere Linux-Variante geworfen haben, was sind die typischen Fragen, die kommen?

Harald Reingruber: Die erste Frage ist oft: Wie kriegt man die Daten drauf? Da hat sich bei uns bewährt, dass wir ein paar Festplatten auf Vorrat gekauft haben. Wir bieten meistens an, gegen Selbstkosten die Festplatte zu tauschen und in ein externes Gehäuse zu geben.

Das ist relativ preiswert: Eine 250-Gigabyte-Festplatte, was für die meisten Leute reicht, kostet um die zwanzig Euro, plus etwa zehn Euro für das Gehäuse. Da kann man auch mit geringem finanziellen Aufwand ein paar Festplatten auf Vorrat kaufen. Das hat auch noch folgenden Vorteil: Falls irgendwas nicht klappt, kann man relativ rasch auch wieder die alte Festplatte benutzen.

Wie viel Zeit braucht man?

netzpolitik.org: Wie lange dauert so ein Workshop zum Umstieg auf Linux?

Harald Reingruber: Unsere Veranstaltungen dauern drei bis vier Stunden. Meistens ist die Datenmigration der aufwendigste Teil. Die Installation auf der Festplatte geht relativ flott. Falls unerwartete Probleme auftreten, etwa ein Gerät oder ein Treiber nicht unterstützt wird, kann man wieder zurückgehen. Wir geben auch dem Benutzer die Festplatte mit. Das heißt, er hat auch drei Wochen später noch die Möglichkeit, auf sein altes System zurückzugehen, wenn er das will. Bis jetzt ist das zum Glück noch nicht vorgekommen.

netzpolitik.org: Wer kreuzt bei solchen Veranstaltungen auf, was sind das für Menschen?

Harald Reingruber: Das ist wirklich ganz unterschiedlich. Altersmäßig kommen viele Ältere, weil ihnen wichtig ist, Geräte zu reparieren und lange zu nutzen. Das sind Werte, die ihnen wichtig sind, sie brauchen oft nicht immer die neuesten Gadgets. Aber Dreißigjährige kommen genauso.

Manche kommen mit einem neuen Laptop und sagen, dass sie sich sowieso schon länger für Linux interessieren und entschieden haben, es einfach auf dem neuen Gerät auszuprobieren, weil da noch keine Daten drauf sind. Einige kommen dann bei einem zweiten Termin auch noch mit einem zweiten Rechner, weil der erste Eindruck sehr gut war.

Eine neue Art zu leben

Wie kommt man auf die Website von „End of 10“?

netzpolitik.org: Auf der Website von „End of 10“ findet man eine Menge verschiedener Veranstaltungen, europaweit, eigentlich sogar weltweit, aber mit einem Fokus auf Europa. Wollte man jetzt selbst so eine Veranstaltung anbieten und Leuten helfen, auf Linux umzusteigen: Wie kommt man auf die Liste auf der Website?

Harald Reingruber: Man kann das direkt über einen Pull-Request machen, es gibt eine Anleitung dazu im Repo. Aber es gibt auch eine E-Mail-Adresse. Wer jetzt mit Git und Pull- und Merge-Requests nicht so vertraut ist, der schreibt die Daten von der Veranstaltung in eine E-Mail. Das wird innerhalb von ein paar Tagen auf die Website gestellt.

netzpolitik.org: Gibt es irgendwelche Einschränkungen? Welche Veranstaltungen sind nicht für eure Liste geeignet?

Harald Reingruber: Ein Individuum allein kann sich nicht anmelden. Man sollte sich als eine Gruppe anmelden, also etwa ein Repair-Café oder eine Linux User Group oder ein Verein. Wenn man ein Business betreibt, kann man das auch angeben.

Die Website unterscheidet zwischen „Events“, also Veranstaltungen , und „Places“, also Orten. Je nachdem, ob man einmalig spezielle Veranstaltungen anbietet oder ob man das regelmäßig anbietet, mit regelmäßigen Öffnungszeiten, kann man sich auch als Ort registrieren.

Auf Vertrauensbasis

netzpolitik.org: Generell gesprochen: Wer also dabei hilft, von Windows 10 umzusteigen, der ist bei euch richtig?

Harald Reingruber: Ja. Wir machen aber keine Qualitätssicherung, sondern setzen auf eine Vertrauensbasis. Wenn eine Veranstaltung nicht hilfreich war oder jemand unerwartet schlecht oder falsch beraten hat, dann kann man das natürlich auf der Website melden. Aber bisher gab es solche Probleme nicht.

netzpolitik.org: In den letzten Tagen gab es die Nachricht darüber, dass sich der Stichtag für das Windows-10-Ende insofern verschiebt, dass bei einer Registrierung für das Microsoft-ESU-Programm bis zum 13. Oktober 2026 nun doch noch Support für Windows 10 angeboten wird. Denkst Du, Microsoft reagiert damit auch auf solche Initiativen wie eure? Was könnte der Hintergrund sein für die Entscheidung, das Ende ein bisschen hinauszuschieben?

Harald Reingruber: Darüber kann ich natürlich nur spekulieren. Die europäischen Verbraucherschutzorganisationen haben auch Druck gemacht, was wahrscheinlich etwas bewirkt hat. Vielleicht bemerkt Microsoft, dass sich viele Leute nach Alternativen umschauen.

Wir wollen klar sagen: Ein Jahr ist es nur aufgeschoben. Man muss auch seinen Windows-10-Rechner mit dem Microsoft-Konto verknüpfen, damit man den „Gratis Extended Support“ bekommen kann. Die Frage ist, warum man warten sollte, denn ein Jahr später kommt das Problem ja wieder. Es lohnt sich also, auf eine mittelfristige oder langfristige Lösung hinzuarbeiten. Aber es nimmt vielleicht ein bisschen den Druck raus. Man kann sich ein bisschen Zeit nehmen, wenn man die Möglichkeit mit dem Microsoft-Konto nutzen will, und sich Linux einmal genau anschauen und ausprobieren.

Sehr viele Geräte müsste man aus dem Verkehr ziehen

netzpolitik.org: Hat die Verschiebung durch Microsoft auch eine Auswirkung auf Leute, die beim Umstieg auf Linux helfen wollen?

Harald Reingruber: Diejenigen, die sich jetzt auch engagieren wollen in ihrem Hackspace oder in ihrem Repair-Café oder vielleicht auch an der Uni, wenn sie dafür Räume haben, um sowas anzubieten, könnten natürlich jetzt die Chance nutzen. Denn die Frist ist verlängert, ich sehe das jetzt mal positiv.

Das Windows-10-Problem verschwindet nicht mit dem 14. Oktober von der Bildfläche. Es ergibt auch im nächsten Jahr noch Sinn, Umstiegsveranstaltungen anzubieten, wahrscheinlich auch darüber hinaus.

netzpolitik.org: Du hast vorhin Elektroschrott erwähnt. Siehst Du darin das größte Problem durch das Support-Ende von Windows 10 oder was ist aus Deiner Sicht das Übelste daran?

Harald Reingruber: Bei jeder Windows-Version wurde nach einigen Jahren der Support eingestellt. Das größte Problem ist diesmal eigentlich, dass die neuen Windows-Anforderungen so hoch gesetzt sind und Rechner, die gerade mal fünf Jahre alt sind, diese Anforderungen schon nicht mehr erfüllen. Das ist Elektroschrott quasi, denn sehr viele Geräte müsste man einfach aus dem Verkehr ziehen. Der größte CO²-Verbrauch entsteht ja in der Produktion und nicht in der Nutzung von einem Laptop. Kollegen von unserer „End of 10“-Kampagne haben herausgefunden, dass man ein Gerät eigentlich zwanzig oder dreißig Jahre nutzen müsste.

IT-Sicherheit als Argument zum Umstieg

netzpolitik.org: Ich würde jetzt vermuten: Du bist ein langjähriger Linux-Nutzer, nicht wahr?

Harald Reingruber: Ja, ich bin aber berufsbedingt und teilweise auch privat noch viel mit Windows unterwegs. Ich bin ein bisschen wie ein Raucher, der eigentlich schon weiß, dass er aufhören will.

netzpolitik.org: Das heißt aber auch: Du kennst auch beide Systeme. Das ist ja vielleicht ein Vorteil bei der Umstiegshilfe, oder?

Harald Reingruber: Ja, das ist schon ein Vorteil. Ich bin auch nicht „religiös“, was Linux oder Windows angeht, ich finde die Open-Source-Vorteile aber sehr groß. Auch aus politischer Sicht ist in öffentlichen Institutionen Open-Source-Software zu bevorzugen, auch mit Blick auf die Lizenzkosten. Würde man diese Gelder in die Weiterentwicklung von offener Software investieren, dann würde auch viel mehr Wertschöpfung in Europa bleiben.

netzpolitik.org: Hast Du den Eindruck, dass die Leute, die zu Dir kommen und denen Du hilfst, auch ein ökonomisches Problem lösen wollen, weil die Kosten eines Neugeräts oder generell die Kosten, die mit Windows und dem Update verbunden sind, ihnen zu hoch sind? Kommen sie auch, weil sie es einfach nicht bezahlen können oder wollen?

Harald Reingruber: Den Eindruck habe ich nicht, die Motivation ist schon eher politisch oder ökologisch. Ich beobachte, dass die Leute es oft so sehen: Das Gerät funktioniert ja noch, das will ich eigentlich nicht wegwerfen. Teilweise wissen sie auch noch gar nicht, ob sie es dann selber weiternutzen oder andere Verwendungszwecke dafür finden, sei es jetzt für Kinder oder Bekannte oder als Zweitgerät.

netzpolitik.org: Ist IT-Sicherheit auch ein Argument für die Leute?

Harald Reingruber: Die Fragen nach IT-Sicherheit kommen, das können Laien aber nicht so gut einschätzen. Dass Linux sicherheitsmäßig Vorteile hat und eine sehr sichere Umgebung ist, das ist den meisten vorher nicht klar. Ich glaube, das ist schon ein starkes Argument.

netzpolitik.org: Vielen Dank für das Gespräch!