Microsoft hat eine neue Zero-Day-Lücke in seinem Browser Internet Explorer eingeräumt. Die Schwachstelle wird einer Sicherheitsmeldung zufolge bereits aktiv ausgenutzt – ein Patch steht indes noch nicht zur Verfügung.
Stattdessen beschränkt sich das Advisory ADV200001 auf Lösungen, die Angriffe auf die Schwachstelle erschweren sollen. Das Unternehmen verweist auf die verstärkte Sicherheitskonfiguration des Browsers, die Nutzer für alle nicht vertrauenswürdigen Websites aktivieren sollten.
Darüber hinaus sollen Nutzer den Zugriff auf ein alte Version der Scripting Engine jscript.dll einschränken. Internet Explorer 9, 10 und 11 verwenden demnach standardmäßig die Datei jscript9.dll, bestimmte Websites benötigten jedoch weiterhin die frühere Version.
Als Folge des Workarounds können jedoch Funktionen, die auf die Bibliothek jscript.dll angewiesen sein, nicht mehr zur Verfügung stehen. Als Beispiel nennt Microsoft Client-Konfigurationen, die automatische Proxy-Konfigurations-Skripte einsetzen. Das Security Advisory beschreibt von daher nicht nur, wie der Zugriff auf die fehlerhafte Datei eingeschränkt, sondern auch wie sie wieder freigegeben wird.
Der Fehler erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer erhält so dieselben Rechte wie der angemeldete Benutzer. Den muss er zuvor nur davon überzeugen, eine speziell gestaltete Website aufzurufen, beispielsweise mithilfe einer Phishing-E-Mail, die einen Link enthält.
Wann die Anfälligkeit mit der Kennung CVE-2020-0674 behoben wird, teilte Microsoft nicht mit. Wie üblich verwies es auch den nächsten Patchday, der am 11. Februar stattfinden wird, sowie auf die Option, ein außerplanmäßiges Sicherheitsupdate zu veröffentlichen.
Mit dem Ende des Supports für Windows 7 betrifft die Schwachstelle neben Windows 10 nur noch Serverversionen von Windows, und zwar Server 2012, 2012 R2, Server 2016 sowie Server 2019. Zu den betroffenen Produkten zählt Microsoft aber auch Windows 7, Server 2008 und Server 2008 R2.
Anfang Januar schloss Mozilla eine Domain. Sie steckte im JavaScript-Compiler Ion Monkey. Der Entdecker der Schwachstelle, der chinesische Sicherheitsanbieter Qihoo 360, wies zu dem Zeitpunkt in einem später gelöschten Tweet darauf hin, dass auch andere Browser betroffen seien. Ob es sich tatsächlich um dieselbe Anfälligkeit handelt, wurde bisher jedoch weder von Qihoo 360 noch von Microsoft bestätigt.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
1 Kommentar zu Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zu den bei MS angegebenen Befehlszeilen ist anzumerken, dass bei deutschen Windows Versionen statt „everyone“ beim Befehl cacls.exe das (leider!; so ein Unsinn; wäre ein anderes Thema…) eingedeutschte „jeder“ zu verwenden ist, da ansonsten keine Änderungen durchgeführt werden.