Kritische Zero-Day-Lücke im Internet Explorer entdeckt

Sie erlaubt Angreifern die Ausführung von Schadcode. Dazu müssen sie den Nutzer nur dazu bewegen, eine manipulierte Website oder eine schädliche Datei zu öffnen. Microsoft wurde bereits am 3. Juni über die Lücke informiert. Eventuell schließt es sie am heutigen Patchday.

Microsofts Internet Explorer weist seit über einem halben Jahr eine kritische Sicherheitslücke, die bis heute noch nicht geschlossen wurde. Das geht aus einem Bericht der Zero-Day Initiative (ZDI) des zu HP gehörenden Sicherheitsunternehmens TippingPoint hervor. Die ZDI-Richtlinien sehen vor, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.

Logo von Internet Explorer 10

Dem Report zufolge erlaubt die Anfälligkeit Angreifern, Schadcode im Internet Explorer auszuführen. Dazu genügt es, dass der Nutzer eine manipulierte Website im Microsoft-Browser aufruft oder eine schädliche Datei öffnet.

Die ZDI hat Microsoft nach eigenen Angaben am 3. Juni über die von Sicherheitsforscher Arthur Gerkis entdeckte Schwachstelle informiert. Microsoft bestätigte daraufhin das Problem, hat es aber bis heute nicht beseitigt.

Laut ZDI handelt es sich um einen Use-after-free-Bug bei der Verarbeitung von CElement-Objekten. Angreifer können durch Ausnutzen dieses Fehlers die Rechte des angemeldeten Nutzers erlangen. Dadurch erhalten sie auch Administratorrechte, wenn Anwender das System mit diesen nutzen – was unter Windows oft der Fall ist.

Welche Ausgaben des Internet Explorer von der Lücke betroffen sind, teilte die ZDI nicht mit. Wahrscheinlich steckt sie aber in sämtlichen Versionen. Möglicherweise schließt Microsoft sie an seinem heutigen Dezember-Patchday. Zumindest hat es Updates für kritische Lücken in Office, Windows und Internet Explorer angekündigt.

Um sich bis zum Erscheinen eines Patches von der beschriebenen Anfälligkeit zu schützen, sollten Nutzer des Internet Explorer die Sicherheitsstufe für die Internet-Zone auf „hoch“ stellen, wodurch ActiveX Controls und Active Scripting blockiert werden. Außerdem empfiehlt es sich, den Browser so zu konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Unter Windows Server werden aktive Inhalte standardmäßig blockiert. Darüber hinaus rät Microsoft zur Installation des Anti-Hack-Tools Enhanced Mitigation Experience Toolkit (EMET).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

11 Kommentare zu Kritische Zero-Day-Lücke im Internet Explorer entdeckt

Kommentar hinzufügen
  • Am 9. Dezember 2014 um 13:49 von C

    Und wieder einmal beweist MS seine Unfähigkeit…

    Tipping Point/HP liefert Infos über die Zero-Day Lücke.
    MS interessiert sich nicht hierfür. Motto: mal sehen, ob das ausgenutzt wird und wie das Schadens-Potential sich entwickelt.
    Nach 6 Monaten veröffentlicht man die Informationen darüber, um Druck auf MS bzgl. Fix zu erzeugen.

    Mr. Nadella, Sie sind keinen Cent der 84 Mio. US-$ p. A. wert.
    Seine Kunden solch einem Angriffs-Vektor mehr als 6 Monate bewusst auszusetzen ist nicht fahrlässig, sondern vorsätzlich.

    Kaum zu Glauben, dass alle Major Enterprises auf dieser Plattform heute noch arbeiten. Von den vielen anderen Nutzern ganz zu Schweigen. Ein Wechsel tut dringend Not.
    Mal sehen, wenn bei MS die Deckungsbeiträge ausbleiben, ob das dann immer noch Spaß macht. Mr. Nadella macht ja lieber in „Mobile & Cloud first“, anstatt an der Sicherheit seiner Produkte zu arbeiten. Mehr als 10 Jahre Sicherheits-Initiativen bei MS mit MRD US-$ Aufwand haben nichts genutzt.

    Schöne PR-Aktionen für die PowerPoint-Gallerie, mehr nicht.
    MS hat nichts gelernt – und wird es scheinbar auch nicht mehr. egal unter welcher Führung.
    Im Gegenteil: man bevormundet den User, ganz dem Vorbild anderer Unternehmen. Langfristig wird MS dafür bezahlen, weil eine kurzfristige Umstellung so schnell nicht möglich ist. Die Aussichten sind jedoch negativ.

    • Am 9. Dezember 2014 um 14:46 von Frank

      Irgendwie scheint hier jemand ordentlich seinen Frust abzubauen. Wie wäre es denn mit sachlichen Kommentaren, ohne Verbitterung und Hassgefühlen. Es geht nicht um den Untergang unserer Zivilisation. ;)

      • Am 9. Dezember 2014 um 16:08 von C

        @Frank

        Wie bitte?

        Ein Konzern, dessen Produkte Ich käuflich erworben habe, lässt mich (und viele andere Millionen User) bewusst im Stich und setzt mich unnötig der akuten Gefahr aus, trotz frühzeitiger Kenntnisnahme – und Ich baue hier angeblich persönlichen Frust ab?

        Geht es noch? Wohl verkehrte Interpretation durch Dich!

        Vorschlag: mal den Realitäts-Sinn bei sich überprüfen lassen, der scheint wirklich gestört zu sein…

        Eins werde Ich wirklich jedoch abbauen: die Zahl meiner auf MS-Produkten basierenden Installationen. Ebenso werde Ich MS-Produkt-Empfehlungen zukünftig vermeiden. MS hat die Wertschätzung seiner (zahlenden) User (Enterprise, Consumer) mehr als überzeugend dargestellt.

        • Am 9. Dezember 2014 um 18:28 von Frank

          Ja, klar. Es geht nur um einen simples Gerät zum MP3 abhören, und Du hast ja noch nicht einmal ein iPod, und regst Dich darüber auf, als würde man Dich persönlich angegriffen haben. Das ist doch wirklich ein Stück weit verlogen.

        • Am 9. Dezember 2014 um 18:33 von @C-Ankläger

          Was für ein Produkt hast Du denn käuflich erworben? Du besitzt ein iPod? Oder ein iPad? Oder hast Du wirklich (wer’s glaubt) auch nur ein DRM-verseuchtes Stück Musik von Real erworben?

          Das ist doch alles Unsinn. Weder wurdest Du belogen, noch, siehe den aktuellen Stand der Sache, die drei ‚Kläger‘, die nicht einmal ein iPod persönlich gekauft haben.

          Das ist doch wirklich ein mieses Schmierentheater, was Du mit Deiner künstlichen Empörung abziehst. Also sei einfach mal ruhig, und diskutiere sachlich über Themen, über die Du zumindest formell diskutieren dürftest.

          Immer diese künstliche Aufregung, als ob Du keine echten Probleme hättest. Für DAS hier würde sich die Aufregung lohnen, aber nicht für Deine Kindereien: http://www.spiegel.de/politik/ausland/folter-der-usa-bericht-vorgestellt-a-1007435.html

        • Am 9. Dezember 2014 um 18:37 von PS:

          Wertschätzung seiner User? Sag mal: den Microsoft Monopolmissbrauch Ende der 90er hast Du vergessen? Und den Kachelzwang auf Desktops, der Microsoft massiv Kunden gekostet hat – vergessen? Microsoft hat die Kunden über Jahre nicht ernst genommen, und Du stimmst ein Hohelied auf deren ‚Kundenfreundlichkeit‘ an? Au WEIA!

          Und dass dadurch diverse wettbewerbswidrige Praktiken Netscape ruiniert wurde – vergessen?

          Jetzt springen bei Dir alle Sicherungen aus. Apple ist an allem Schuld, Microsoft ist heilig, und Googles Quasi-Monopole siehst Du nicht einmal. Peinlich ist wirklich zu wenig, wenn ich schreibe, was ich davon halte, würde der Kommentar gestrichen werden.

          Aber: wirklich normal ist das nicht. ;-)

          • Am 10. Dezember 2014 um 7:02 von Judas Ischias

            Namenloser,
            Du schreibst hier was von „künstlicher Empörung“ und „mieses Schmierentheater“.
            Von „sei mal ruhig und diskutiere sachlich über die Themen“.
            Warum packst Du dir nicht mal an die eigene Nase und machst das selbst auch?

            Gibt von dir genug Pöbeleien gegen Samsung, Google oder Android und MS.
            Da hast Du es selbst oft genug an deiner zitierten Sachlichkeit fehlen lassen.

            Wie Applegesteuert Du bist sieht man wieder mal an deinem PS.
            Da ziehst Du über Google und MS her. Faselst was von Quasi-Monopol, aber man liest von dir keine Kritik an Apple! Sondern Du redest alles schön, egal was diese Firma auch treibt.

            Du bist nur am rumquaken wenn es Leute wagen kritisch über Apple zu schreiben und deren schmierige Praktiken anzuprangern.

            Arbeitest Du für die Firma, oder warum bist Du so kritiklos?

            Und wegen deinem zur Zeit Lieblingswort „Quasi-Monopol“, was deinen bisherigen Vorwürfen nach nicht nur „C“ nicht sieht.
            Apple verbietet doch die Nutzung von fremden Browser-Engines auf iPhone, iPad und iPod Touch.
            Der voreingestellte Standard-Browser auf iOS-Geräten ist Safari von Apple und die Einstellung lässt sich von den Nutzern der Apple-Geräte NICHT ändern!

            Auch das ist ausnutzen eines Monopols!
            Und so etwas ist nicht nur ein Quasi-Monopol!

            Sind denn jetzt DEINE Sicherungen noch drin? ;)

          • Am 10. Dezember 2014 um 9:03 von JI-2

            Du solltrst bei Wikipedia nachlesen, was ein Monopol ist. Tipp: VW verkauft 100% der Golf und das ist dennoch KEIN Monopol. ;-)

          • Am 10. Dezember 2014 um 13:13 von Judas Ischias

            „JI-2“,
            und schon kommt wieder das berühmte andere Bla, Bla. ;)

            Immer wenn dir nix zu mehr einfällt kramst Du irgendwelche komischen Sachen raus.

            Warum gehst Du nicht mal darauf ein warum von dir nie Kritik an Apple zu lesen ist, oder warum äußerst Du dich nicht zu dem Thema:Apple verbietet die Nutzung von fremden Browser-Engines auf iPhone, iPad und iPod

    • Am 9. Dezember 2014 um 15:02 von Judas Ischias

      Eigentlich müsste doch bei den 1-2,vielleicht 3 Namenlosen richtig Freude aufkommen, weil Du mal nicht Apple kritisierst. ;)

      Aber ich schätze, da wird auch wieder drüber hinweg gesehen, dass nicht nur der Apfel kritisiert wird, sondern auch andere Firmen ihr Fett abbekommen.

      Aber vielleicht machen die anderen Firmen insgesamt weniger Fehler als Apple, so dass man weniger kritisieren muss? ;)))

      Fällt mir gerade die verschobene Frontkamera vom iPhone 6 ein. ;)

      • Am 9. Dezember 2014 um 18:00 von punisher

        Das wäre nicht das erste mal. Neulich erst gelesen, dass (ich glaube hi,hi… wars) von ihm links gefordert hat, wo ‚C‘ mal aig andere losgeht als auf apple. Mit fiel da gleich Microsoft ein ;) Anscheinend fallen Kommentare gegen apple mehr auf.

        Zum Thema:
        Ich benutze diesen miesen Browser zwar nicht, aber so lange die User, die nicht so viel Plan haben, im Stich zu lassen ist erbärmlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *