Schwachstelle in IE: HP-Forscher erhalten 125.000 Dollar Prämie

HPs Zero Day Initiative hat sich über einen längeren Zeitraum mit Speicherkorruption im IE auseinandergesetzt. Microsoft zahlt 100.000 Dollar für die gezeigte Lücke und 25.000 Dollar Prämie für von HP vorgeschlagene Härtungsstrategien. Die Schwachstelle ist noch nicht gepatcht.

Microsoft hat drei Sicherheitsforschern von Hewlett-Packard 125.000 Dollar Prämie für eine von ihnen demonstrierte Lücke im Browser Internet Explorer gezahlt. Die Mitarbeiter von HPs Zero Day Initiative Brian Gorenc, Abdul-Aziz Hariri und Simon Zuckerbraun hatten Angriffe auf die Funktionen Isolated Heap und MemoryProtection im aktuellen Microsoft-Browser demonstrieren können.

Logo von Internet Explorer 10 (Bild: Microsoft)

Sie fanden auch einen Weg, um mit MemoryProtection die Speicher-Randomisierung (ASLR) zu umgehen. MemoryProtection und ASLR sollen eigentlich Angriffe verhindern, die den Speicher zu korrumpieren versuchen (Use After Free, UAF).

Die Prämie setzt sich aus zwei verschiedenen Programmen zusammen: „Microsoft Mitigation Bypass Bounty“ und „BlueHat Bonus for Defense“. Letztlich erhielten sie 100.000 Dollar für die Angriffsdemonstration und 25.000 Dollar zusätzlich für von ihnen vorgeschlagene Verteidigungstechniken.

Als HP-Angestellte werden sie die Prämien nicht behalten, sondern spenden. Das Geld geht an drei Forschungseinrichtungen mit mathematisch-technischer Ausrichtung, nämlich die Texas A&M University, Concordia University und Khan Academy.

HPs Zero Day Initiative beschäftigt sich nach eigenen Angaben schon länger mit Speicherkorruption via Internet Explorer. Zuckerbraun schreibt, mit den im Juni und Juli 2014 zur Härtung des Internet Explorer von Microsoft eingeführten Techniken Isolated Heap und MemoryProtection habe sich der Einsatz im Spiel noch einmal erhöht.

Das HP-Team veröffentlicht von ihm gefundene Sicherheitslücken 120 Tage, nachdem es sie dem Hersteller gemeldet hat. Ihm zufolge wurden die IE-Schwachstellen bisher nicht behoben.

Diese Woche war schon eine schwere, universelle Cross-Site-Scripting-Lücke im Internet Explorer veröffentlicht worden. Sie ist ungepatcht, obwohl Microsoft Mitte Oktober davon erfahren hat. Angreifer könnten unter Windows 7 oder Windows 8 Authentifizierungscookies stehlen oder ihr Opfer heimlich auf eine schädliche Website umleiten.

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Browser, Hewlett-Packard, Internet Explorer, Microsoft, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Schwachstelle in IE: HP-Forscher erhalten 125.000 Dollar Prämie

Kommentar hinzufügen
  • Am 7. Februar 2015 um 13:04 von C

    Zitat aus dem Artikel:
    „Ihm zufolge wurden die IE-Schwachstellen bisher nicht behoben.“

    Meines Wissens nach auch noch nicht.

    Und – Mr. Nadella lässt die IE-User weiter über ein 1/2 Jahr lang im Regen stehen und verkündet die schöne neue MS-Win-10 Welt…

    Ja, ja, zwischen Versprechen und Wirklichkeit ist doch noch ein Unterschied. Von daher: keine MS Produkte in Zukunft mehr. Es zählt nicht nur die Funktionalität, sondern auch die Sicherheit des Produktes. Als langjähriger MS-Nutzer verabschiede Ich mich von dieser Plattform, auch wenn dieses eine Migrations-Zeit erfordert.

    Wer Kunden so behandelt, der braucht keine Kunden mehr!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *