Weitere Sicherheitslücke im Internet Explorer entdeckt

BrowserSicherheitSicherheitsmanagementWorkspace
Internet Explorer 10 Logo (Bild: Microsoft)

Laut dem Sicherheistunternehmen FireEye sind die Versionen 7, 8, 9 und 10 des Microsoft-Browsers betroffen. Angreifer können eine Unzulänglichkeit der Windows-Bibliothek msvcrt.dll ausnutzen. Ein Exploit für die Schwachstelle sei bereits im Umlauf.

Experten des Sicherheitsunternehmens FireEye haben auf einer manipulierten Website einen Exploit für eine bislang unbekannte Sichehreitslücke in Internet Explorer entdeckt. Wird die Website mit dem Microsoft-Browser angezeigt, kann sie per Drive-by-Download eine Schadsoftware einschleusen und ausführen. Laut den FireEye-Experten nutzt die in den USA gehostete Website die Kombination von zwei bisher unbekannten Schwachstellen aus.

internet-explorer-10-logo

Durch die erste Schachstelle ist es möglich, den Zeitstempel der Windows-Bibliothek “msvcrt.dll” auszulesen. Diese Information übermittelt die Malware anschließend an den Server der Hacker. Die können so den eigentlichen Exploit an die vorhandene Version der Datei msvcrt.dll anpassen. Damit nutzen sie einen Speicherfehler aus, der ihnen die Remotecodeausführung ermöglicht.

Der Speicherfehler tritt FireEye zufolge auf Windows XP mit IE7 und 8 sowie Windows 7 mit IE9 auf. Der Exploit funktioniere bisher nur mit englischsprachigen Versionen des Browsers. Das Unternehmen geht aber davon aus, dass der Exploit einfach verändert werden kann, um andere Sprachen zu verwenden. Von der Schwachstelle betroffen seien Internet Explorer 7, 8, 9 und 10.

Das Unternehmen nennt auch Details zu dem Angriff, bei dem die Lücke ausgenutzt wurde. Bei der manipulierten Website soll es sich um eine “strategisch wichtige Site” handeln, die “Besucher anzieht, die wahrscheinlich an nationaler und internationaler Sicherheitspolitik interessiert sind”.

Der Schadcode werde zudem nicht sofort auf die Festplatte geschrieben. Das erschwere den forensischen Nachweis eines Angriffs, so FireEye weiter. Stattdessen werde der Code direkt in den Speicher eingefügt. Diese Methode sei “außergewöhnlich versiert” und nur schwer zu entdecken.

Eine Stellungnahme von Microsoft liegt bisher nicht vor. FireEye hat nach eigenen Angaben den Softwarekonzern informiert. Die Folgen eines Angriffs könnten mithilfe von Microsofts Enhanced Mitigation Experience Toolkit (EMET) eingedämmt werden. Microsofts November-Patchday morgen bringt den Vorabinformationen zufolge noch keinen Patch für dei von FireEye gemeldete Lücke.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen