Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer

Betroffen sind die Versionen IE 9, 10 und 11 unter Windows 10 und Windows Server. Ein Angreifer kann aus der Ferne Schadcode einschleusen und ausführen. Microsoft rät Betroffenen, den Zugriff auf eine alte Version der Scripting Engine jscript.dll einzuschränken.

Microsoft hat eine neue Zero-Day-Lücke in seinem Browser Internet Explorer eingeräumt. Die Schwachstelle wird einer Sicherheitsmeldung zufolge bereits aktiv ausgenutzt – ein Patch steht indes noch nicht zur Verfügung.

Internet Explorer 10 (Bild: Microsoft)Stattdessen beschränkt sich das Advisory ADV200001 auf Lösungen, die Angriffe auf die Schwachstelle erschweren sollen. Das Unternehmen verweist auf die verstärkte Sicherheitskonfiguration des Browsers, die Nutzer für alle nicht vertrauenswürdigen Websites aktivieren sollten.

Darüber hinaus sollen Nutzer den Zugriff auf ein alte Version der Scripting Engine jscript.dll einschränken. Internet Explorer 9, 10 und 11 verwenden demnach standardmäßig die Datei jscript9.dll, bestimmte Websites benötigten jedoch weiterhin die frühere Version.

Als Folge des Workarounds können jedoch Funktionen, die auf die Bibliothek jscript.dll angewiesen sein, nicht mehr zur Verfügung stehen. Als Beispiel nennt Microsoft Client-Konfigurationen, die automatische Proxy-Konfigurations-Skripte einsetzen. Das Security Advisory beschreibt von daher nicht nur, wie der Zugriff auf die fehlerhafte Datei eingeschränkt, sondern auch wie sie wieder freigegeben wird.

Der Fehler erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer erhält so dieselben Rechte wie der angemeldete Benutzer. Den muss er zuvor nur davon überzeugen, eine speziell gestaltete Website aufzurufen, beispielsweise mithilfe einer Phishing-E-Mail, die einen Link enthält.

Wann die Anfälligkeit mit der Kennung CVE-2020-0674 behoben wird, teilte Microsoft nicht mit. Wie üblich verwies es auch den nächsten Patchday, der am 11. Februar stattfinden wird, sowie auf die Option, ein außerplanmäßiges Sicherheitsupdate zu veröffentlichen.

Mit dem Ende des Supports für Windows 7 betrifft die Schwachstelle neben Windows 10 nur noch Serverversionen von Windows, und zwar Server 2012, 2012 R2, Server 2016 sowie Server 2019. Zu den betroffenen Produkten zählt Microsoft aber auch Windows 7, Server 2008 und Server 2008 R2.

Anfang Januar schloss Mozilla eine Domain. Sie steckte im JavaScript-Compiler Ion Monkey. Der Entdecker der Schwachstelle, der chinesische Sicherheitsanbieter Qihoo 360, wies zu dem Zeitpunkt in einem später gelöschten Tweet darauf hin, dass auch andere Browser betroffen seien. Ob es sich tatsächlich um dieselbe Anfälligkeit handelt, wurde bisher jedoch weder von Qihoo 360 noch von Microsoft bestätigt.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Browser, Internet Explorer, Microsoft, Security, Sicherheit, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer

Kommentar hinzufügen
  • Am 20. Januar 2020 um 9:04 von Gast

    Zu den bei MS angegebenen Befehlszeilen ist anzumerken, dass bei deutschen Windows Versionen statt „everyone“ beim Befehl cacls.exe das (leider!; so ein Unsinn; wäre ein anderes Thema…) eingedeutschte „jeder“ zu verwenden ist, da ansonsten keine Änderungen durchgeführt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *