Categories: BrowserWorkspace

Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer

Microsoft hat eine neue Zero-Day-Lücke in seinem Browser Internet Explorer eingeräumt. Die Schwachstelle wird einer Sicherheitsmeldung zufolge bereits aktiv ausgenutzt – ein Patch steht indes noch nicht zur Verfügung.

Stattdessen beschränkt sich das Advisory ADV200001 auf Lösungen, die Angriffe auf die Schwachstelle erschweren sollen. Das Unternehmen verweist auf die verstärkte Sicherheitskonfiguration des Browsers, die Nutzer für alle nicht vertrauenswürdigen Websites aktivieren sollten.

Darüber hinaus sollen Nutzer den Zugriff auf ein alte Version der Scripting Engine jscript.dll einschränken. Internet Explorer 9, 10 und 11 verwenden demnach standardmäßig die Datei jscript9.dll, bestimmte Websites benötigten jedoch weiterhin die frühere Version.

Als Folge des Workarounds können jedoch Funktionen, die auf die Bibliothek jscript.dll angewiesen sein, nicht mehr zur Verfügung stehen. Als Beispiel nennt Microsoft Client-Konfigurationen, die automatische Proxy-Konfigurations-Skripte einsetzen. Das Security Advisory beschreibt von daher nicht nur, wie der Zugriff auf die fehlerhafte Datei eingeschränkt, sondern auch wie sie wieder freigegeben wird.

Der Fehler erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer erhält so dieselben Rechte wie der angemeldete Benutzer. Den muss er zuvor nur davon überzeugen, eine speziell gestaltete Website aufzurufen, beispielsweise mithilfe einer Phishing-E-Mail, die einen Link enthält.

Wann die Anfälligkeit mit der Kennung CVE-2020-0674 behoben wird, teilte Microsoft nicht mit. Wie üblich verwies es auch den nächsten Patchday, der am 11. Februar stattfinden wird, sowie auf die Option, ein außerplanmäßiges Sicherheitsupdate zu veröffentlichen.

Mit dem Ende des Supports für Windows 7 betrifft die Schwachstelle neben Windows 10 nur noch Serverversionen von Windows, und zwar Server 2012, 2012 R2, Server 2016 sowie Server 2019. Zu den betroffenen Produkten zählt Microsoft aber auch Windows 7, Server 2008 und Server 2008 R2.

Anfang Januar schloss Mozilla eine Domain. Sie steckte im JavaScript-Compiler Ion Monkey. Der Entdecker der Schwachstelle, der chinesische Sicherheitsanbieter Qihoo 360, wies zu dem Zeitpunkt in einem später gelöschten Tweet darauf hin, dass auch andere Browser betroffen seien. Ob es sich tatsächlich um dieselbe Anfälligkeit handelt, wurde bisher jedoch weder von Qihoo 360 noch von Microsoft bestätigt.

WEBINAR

BlackBerry CylancePERSONA – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

21 Stunden ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

2 Tagen ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago