Microsoft und Google haben unabhängig voneinander davor gewarnt, dass eine neue Zero-Day-Lücke in Internet Explorer missbraucht wird, um in Google-Mail-Konten einzubrechen. Der Fehler im Microsoft-Browser ermöglicht es, ohne oder nur mit wenig Interaktion mit einem Nutzer Schadcode einzuschleusen und auszuführen.
Der Softwarekonzern spricht in einer Sicherheitsmeldung von „aktiven Angriffen“. Sie haben einer Quelle von ZDNet zufolge dazu geführt, dass Google seit Anfang Juni Nutzer seines E-Mail-Diensts auf eine mögliche Kompromittierung ihres Kontos durch einen staatlich unterstützten Angreifer hinweist. Auf Twitter haben demnach mehrere Anwender bestätigt, dass sie einen entsprechenden Hinweis in ihrem Posteingang sehen. Eine Google-Sprecherin sagte jedoch News.com, es gebe keinen Zusammenhang zwischen den Angriffen auf die Zero-Day-Lücke in IE und der Einführung der Warnung.
Nach Angaben von Microsoft kann die Schwachstelle in den XML Core Services ausgenutzt werden, wenn eine manipulierte Website im Internet Explorer angezeigt wird. Ein Angreifer müsse sein Opfer allerdings zuerst auf eine solche Seite locken, beispielsweise mit einem Link in einer E-Mail oder einer Instant-Messenger-Nachricht. Betroffen seien alle unterstützten Versionen von Windows sowie Office 2003 und Office 2007.
Da bisher kein Patch erhältlich ist, hat Microsoft ein sogenanntes Fix-it-Tool veröffentlicht. Es soll die „bekannten Angriffsmethoden blockieren, bis ein Sicherheitsupdate zur Verfügung steht“. Das Tool kann von der Microsoft-Website heruntergeladen werden.
Alternativ können Nutzer des Internet Explorer ihren Browser so konfigurieren, dass vor der Ausführung von Active Scripting eine Bestätigung eingeholt wird. Die Funktion lässt sich in den Sicherheitszonen „Internet“ und „Lokales Internet“ auch vollständig deaktivieren. Eine genaue Anleitung findet sich unter „Empfohlene Maßnahmen“ in Microsofts Sicherheitswarnung.
Wann Microsoft ein Update für den Internet Explorer herausgeben wird, ist nicht bekannt. Der nächste Patchday findet am 10. Juli statt. Möglicherweise stopft der Softwarekonzern das Loch aber auch außer der Reihe.
[mit Material von Ryan Naraine, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…