Microsoft hat drei Sicherheitsforschern von Hewlett-Packard 125.000 Dollar Prämie für eine von ihnen demonstrierte Lücke im Browser Internet Explorer gezahlt. Die Mitarbeiter von HPs Zero Day Initiative Brian Gorenc, Abdul-Aziz Hariri und Simon Zuckerbraun hatten Angriffe auf die Funktionen Isolated Heap und MemoryProtection im aktuellen Microsoft-Browser demonstrieren können.
Sie fanden auch einen Weg, um mit MemoryProtection die Speicher-Randomisierung (ASLR) zu umgehen. MemoryProtection und ASLR sollen eigentlich Angriffe verhindern, die den Speicher zu korrumpieren versuchen (Use After Free, UAF).
Die Prämie setzt sich aus zwei verschiedenen Programmen zusammen: „Microsoft Mitigation Bypass Bounty“ und „BlueHat Bonus for Defense“. Letztlich erhielten sie 100.000 Dollar für die Angriffsdemonstration und 25.000 Dollar zusätzlich für von ihnen vorgeschlagene Verteidigungstechniken.
Als HP-Angestellte werden sie die Prämien nicht behalten, sondern spenden. Das Geld geht an drei Forschungseinrichtungen mit mathematisch-technischer Ausrichtung, nämlich die Texas A&M University, Concordia University und Khan Academy.
HPs Zero Day Initiative beschäftigt sich nach eigenen Angaben schon länger mit Speicherkorruption via Internet Explorer. Zuckerbraun schreibt, mit den im Juni und Juli 2014 zur Härtung des Internet Explorer von Microsoft eingeführten Techniken Isolated Heap und MemoryProtection habe sich der Einsatz im Spiel noch einmal erhöht.
Das HP-Team veröffentlicht von ihm gefundene Sicherheitslücken 120 Tage, nachdem es sie dem Hersteller gemeldet hat. Ihm zufolge wurden die IE-Schwachstellen bisher nicht behoben.
Diese Woche war schon eine schwere, universelle Cross-Site-Scripting-Lücke im Internet Explorer veröffentlicht worden. Sie ist ungepatcht, obwohl Microsoft Mitte Oktober davon erfahren hat. Angreifer könnten unter Windows 7 oder Windows 8 Authentifizierungscookies stehlen oder ihr Opfer heimlich auf eine schädliche Website umleiten.
[mit Material von Charlie Osborne, ZDNet.com]
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Mehr als die Hälfte aller Infostealer-Angriffe treffen Unternehmensrechner.
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
