Exploit-Code für ungepatchte Internet-Explorer-Lücke veröffentlicht

Die steckt in der 32-Bit-Version des Microsoft-Browsers und betrifft Windows 7 und Windows 8.1. Microsoft ist die Internet-Explorer Lücke bekannt. Laut HP-Tochter Tipping Point will Redmond aber keinen Patch für die Schwachstelle entwickeln.

Sicherheitsforscher der HP-Tochter Tipping Point haben Exploit-Code für eine Zero-Day-Lücke in Internet Explorer veröffentlicht. Der Fehler erlaubt es, die Sicherheitsfunktion Address Space Layout Randomization (ASLR) auszuhebeln. Er steckt den Forschern zufolge allerdings nur in der 32-Bit-Version des Microsoft-Browsers. Da sie aber auch unter 64-Betriebssystemen die Standardversion ist, sind laut HP Millionen von Nutzern betroffen.

Logo von Internet Explorer 10 (Bild: Microsoft)Laut Dustin Childs, HP Senior Security Content Developer, habe HP den Schadcode ohne „böse Absichten“ öffentlich gemacht. Die Entscheidung sei auch in Übereinstimmung mit den eigenen Regeln für die Offenlegung von Sicherheitslücken getroffen worden, da Microsoft die Schwachstelle nicht als Gefahr ansehe.

„Microsoft hat uns bestätigt, dass sie aufgrund unserer Erkenntnisse keine Maßnahmen einleiten werden. Wir sahen aber die Notwendigkeit, die Öffentlichkeit zu informieren“, schreibt Childs, der früher für Microsoft gearbeitet hat, in einem Blogeintrag. Er weist zudem darauf hin, dass Microsoft für die Entdeckung der Lücke im Frühjahr eine Belohnung von 125.000 Dollar gezahlt habe, die HP später gespendet habe.

Microsofts Einstufung der Schwachstelle bezeichnet Childs als „technisch korrekt“. Er kritisiert allerdings trotzdem die Entscheidung Redmonds, keinen Patch bereitzustellen. Deswegen habe man den Proof-of-Concept Exploit für Windows 7 und Windows 8.1 freigegeben.

„Wir stimmen nicht mit der Einschätzung überein und veröffentlichen die PoC-Informationen in der Überzeugung, dass betroffene Nutzer so vollständig informiert sein sollten wie möglich, um die ihrer Meinung nach notwendigen Schritte ergreifen zu können“, so Childs weiter. Nur wer die Bedrohung kenne, könne sich davor schützen.

Einen Patch lehnt Microsoft laut HP unter anderem deswegen ab, weil davon in erster Linie 64-Bit-Versionen profitieren. Der Fehler steckt jedoch in der 32-Bit-Version des Internet Explorer, der Standardversion des Microsoft-Browsers. Zudem reduziert nach Ansicht von Microsoft der Speicherschutz, der das Umgehen von ASLR erlaubt, das von einigen Use-after-free-Bugs ausgehende Risiko. Weniger Use-after-free-Lücken seien jedoch keine Rechtfertigung für die Schwächung von ASLR, kommentiert Childs.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Hewlett-Packard, Internet Explorer, Microsoft, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Exploit-Code für ungepatchte Internet-Explorer-Lücke veröffentlicht

Kommentar hinzufügen
  • Am 23. Juni 2015 um 9:51 von Ja

    So kann man auch Druck für eine Migration auf Windows 10 aufbauen. Es ist aber keine feine Art das durch fehlende Sicherheitspatches zu erzwingen. Offensichtlich lernt Microsoft von Google, die das bereits praktizieren.

    • Am 23. Juni 2015 um 13:27 von melaw

      Doof wenns nur dazu führt dass mehr und mehr User zu alternativer Software wechseln. Die im OS eingebauten Programme oder Apps zu nutzen ist zwar naheliegend, aber mehr und mehr Menschen verzichten darauf.

      Interessant wäre es nur, wenn rechtliche Handhabe bestünde gegenüber Softwareentwicklern, die als aktuell geltende Software bei Kenntnis von Sicherheitslücken nicht patchen.

  • Am 23. Juni 2015 um 21:03 von C

    Was ist der größere Skandal?
    Das fehlende Patchen von MS – oder die offensichtliche Gleichgültigkeit der User?

    • Am 24. Juni 2015 um 9:06 von punisher

      Es gibt halt auch user die den ie schon seit den 90ern nicht mehr nutzen. Wenn das jetzt noch mehr Leute machen würden, wäre der patch schnell da, so denke ich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *