Forscher veröffentlicht Beispielcode für frisch gepatchte Sicherheitslücke in Edge

Sie erlaubt das Einschleusen von Schadcode aus der Ferne. Ein Opfer muss allerdings dazu verleitet werden, die Enter-Taste zu drücken. Der Sicherheitsforscher Abdulrahman Al-Qabandi hat die Lücke entdeckt und auch an Microsoft gemeldet.

Der Sicherheitsforscher Abdulrahman Al-Qabandi hat die Details einer von ihm entdeckten Sicherheitslücke im Microsoft-Browser Edge veröffentlicht. In seinem Blog beschreibt er die Anfälligkeit aber nicht nur, er stellt dort auch funktionierenden Beispielcode für einen Exploit zur Verfügung, damit andere Forscher seine Erkenntnisse nachvollziehen können. Allerdings könnte der Code nun auch von Cyberkriminellen für die Entwicklung von Malware benutzt werden.

Windows 10: Edge (Bild: ZDNet.de)Die Schwachstelle hatte Al-Qabandi über Trend Micros Zero Day Initiative an Microsoft gemeldet. Der Softwarekonzern wiederum patchte die Lücke mit der Kennung CVE-2018-8495 Anfang der Woche. „Ein Angreifer könnte eine speziell gestaltete Website hosten, um die Anfälligkeit über Microsoft Edge auszunutzen, und einen Nutzer zum Besuch der Website zu verleiten“, heißt es in Microsofts Sicherheitswarnung. Allerdings müsse der Angreifer den Nutzer zu einer bestimmten Aktion verleiten – laut Al-Qabandi muss die Eingabetaste betätigt werden.

Das Drücken der Enter-Taste führt demnach ein Visual-Basic-Skript über den Windows Script Host aus. Der Beispielcode des Forschers startet den Windows Taschenrechner. Es ist aber auch möglich, den Code so zu verändern, dass im Hintergrund Schadsoftware heruntergeladen und installiert wird. Einen möglichen Angriff zeigte der Forscher zudem in einem Video.

Ein Vorteil von Al-Qabandis Code ist, dass er nur aus HTML und JavaScript besteht und somit leicht in jede Website integriert werden. Da sein Exploit jedoch nicht automatisiert ausgeführt werden kann, ist er nicht für Exploit-Kits oder Malvertising-Kampagnen geeignet. Er ließe sich jedoch bei zielgerichteten Angriffen einsetzen.

Ein Fix ist in den am Dienstag im Rahmen des Oktober-Patchdays veröffentlichten Updates enthalten. Nutzer sollten die Updates unabhängig von der von ihnen verwendeten Windows-Version nun so schnell wie möglich installieren. Besitzer von HP-Systemen sollten indes beachten, dass die kumulativen Updates für Windows 10 Version 1803 und 1809 bei einigen Anwendern zu Problemen geführt haben.

ANZEIGE

Ihre letzte Verteidigungslinie gegen Ransomware

Was mehrstufige Speicherlösungen im Kampf gegen Ransomware im Detail bringen, erklärt dieses Whitepaper von Quantum. Jetzt kostenlos herunterladen!

Themenseiten: Browser, Edge, Microsoft, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Forscher veröffentlicht Beispielcode für frisch gepatchte Sicherheitslücke in Edge

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *