HPs Zero Day Initiative macht vier Zero-Day-Lücken in Internet Explorer Mobile öffentlich

Microsoft sind die Schwachstellen seit mindestens vier Monaten bekannt. Eine Anfälligkeit wurde sogar schon im November beim Hackerwettbewerb Mobile Pwn2Own entdeckt. Microsoft zufolge sind bisher keine Exploits für die Lücken im Umlauf.

HPs Zero Day Initiative (ZDI) hat auf vier bisher ungepatchte Sicherheitslücken in Internet Explorer unter Windows Phone aufmerksam gemacht. Microsoft kennt die Schwachstellen schon seit mindestens vier Monaten, hat aber bisher nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost berichtet, folgt ZDI seiner Richtlinie, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, selbst wenn der Hersteller noch keinen Fix entwickelt hat.

Logo von Internet Explorer 10 (Bild: Microsoft)Eine der Anfälligkeiten ist Microsoft sogar schon seit November bekannt. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Ein Fehler in IE Mobile beim Umgang mit HTML-Tabellen ermöglicht es, Schadcode einzuschleusen und auszuführen.

Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.

Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.

Ob und wann ein Patch für die vier Löcher zur Verfügung stehen wird, ist indes nicht bekannt. „Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen“, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Internet Explorer, Microsoft, Mobile, Windows Phone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu HPs Zero Day Initiative macht vier Zero-Day-Lücken in Internet Explorer Mobile öffentlich

Kommentar hinzufügen
  • Am 24. Juli 2015 um 12:15 von C

    Und immer wieder MS mit nicht gepatchten Lücken…
    …aber ständig neue Programme entwickeln, ohne die Basis abzusichern.

    Tschüss MS, Welcome Linux!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *