Microsoft warnt vor Zero-Day-Lücke in Internet Explorer

Microsoft hat am Wochenende eine Sicherheitswarnung für Internet Explorer ausgegeben. Demnach steckt in den Versionen 6 bis 11 des Microsoft-Browsers eine Zero-Day-Lücke. Sie wird nach Angaben des Unternehmens für zielgerichtete Angriffe auf IE 9, 10 und 11 genutzt. Es handelt sich zudem um die erste bekannte Schwachstelle, die unter Windows XP ungepatcht bleiben wird.

Logo von Internet Explorer 10

Entdeckt wurde die Anfälligkeit von der Sicherheitsfirma FireEye. Ihr zufolge handelt es sich um einen Use-after-free-Bug, bei dem es möglich ist, Objekte im Speicher zu manipulieren, nachdem sie freigegeben wurden. Der derzeit kursierende Exploit ist zudem in der Lage, die Sicherheitsfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) und Adress Space Layout Randomization (ASLR) zu umgehen.

Laut FireEye nutzt der Exploit eine Adobe-Flash-Datei, um den Speicher mit einer Heap Feng Shui (PDF) genannten Technik zu manipulieren. Auch wenn weder Microsoft noch FireEye darauf hinweisen, sind Windows-Systeme ohne installierten Flash Player offenbar nicht anfällig für diesen Angriff, obwohl die eigentliche Schwachstelle im Internet Explorer steckt. IE10 und 11 sind immer betroffen, da sie über ein integriertes Flash-Plug-in verfügen.

Ein Angreifer könne die Lücke mithilfe einer manipulierten Website ausnutzen, schreibt Microsoft-Sprecher Dustin Childs im Blog des Security Response Center. Dafür müsse er ein Opfer lediglich über einen in eine E-Mail oder eine Chat-Nachricht eingebetteten Link auf die Seite locken.

„Wir beobachten die Bedrohungslage sehr genau und werden geeignete Maßnahmen ergreifen, um unsere Kunden zu schützen“, so Childs weiter. Das Enhanced Mitigation Experience Toolkit (EMET) schütze vor den möglichen Gefahren der Lücke. Gleiches gelte für den Enhanced Protected Mode von IE10 und IE11.

Microsofts nächster Patchday findet am 13. Mai statt. Ob das Unternehmen bis dahin einen Fix bereitstellen wird, bleibt abzuwarten. Eine Mitte Februar ebenfalls von FireEye entdeckte Zero-Day-Lücke im Internet Explorer hatte Microsoft im März geschlossen.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

1 Kommentar zu Microsoft warnt vor Zero-Day-Lücke in Internet Explorer

Kommentar hinzufügen
  • Am 28. April 2014 um 13:34 von Dont-Care

    Auch wenn weder Microsoft noch FireEye darauf hinweisen, sind Windows-Systeme ohne installierten Flash Player offenbar nicht anfällig für diesen Angriff, obwohl die eigentliche Schwachstelle im Internet Explorer steckt.

    –> Sie sind auch anfällig für diesen Angriff, weil das gleiche auch mit JavaScript durchgeführt werden kann. (Wie in der verlinken Präsentation selber beschrieben)

    Oder sehe ich das falsch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *