Erneut Sicherheitslücke im Internet Explorer aufgetaucht

BrowserSicherheitWorkspace
Internet Explorer 10 Logo (Bild: Microsoft)

Sie findet sich in allen Versionen des Browsers. Laut Microsoft ist ein Exploit ist bisher aber nur für Internet Explorer 9, 10 und 11 im Umlauf. Er verwendet eine Flash-Datei, um einen Use-After-Free-Bug im Internet Explorer auszunutzen.

Microsoft hat erneut vor einer Sicherheitslücke im Internet Explorer gewarnt. Sie findet sich in den Versionen 6, 7, 8, 9, 10 und 11 des Browsers. Nach Angaben des Unternehmens nutzen Hacker sie bereits für zielgerichtete Angriffe auf Internet Explorer 9, 10 und 11 aus. Es ist zudem die erste bekannte Schwachstelle, die unter Windows XP ungepatcht bleiben wird.

Internet Explorer 10

Entdeckt wurde die Schwachstelle von der Sicherheitsfirma FireEye. Ihr zufolge ist es möglich Objekte im Speicher zu manipulieren, nachdem sie freigegeben wurden. Der derzeit benutzte Exploit könne zudem, die Sicherheitsfunktionen Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) umgehen.

Laut FireEye nutzt der Exploit eine Adobe-Flash-Datei, um den Speicher mit einer Heap Feng Shui (PDF) genannten Technik zu manipulieren. Obwohl weder Microsoft noch FireEye darauf hinweisen, sind Windows-Systeme ohne installierten Flash Player offenbar nicht anfällig für diesen Angriff, obwohl die eigentliche Schwachstelle im Internet Explorer steckt. IE10 und 11 sind, da sie über ein integriertes Flash-Plug-in verfügen, immer betroffen.

Ein Angreifer kann die Lücke mittels einer manipulierten Website ausnutzen, schreibt Microsoft-Sprecher Dustin Childs. Dafür müsse er sein Opfer lediglich über einen in eine E-Mail oder eine Chat-Nachricht eingebetteten Link auf die Seite locken. Das Enhanced Mitigation Experience Toolkit (EMET) könne vor den möglichen Risiken der Anfälligkeit schützen. Gleiches gelte für den Enhanced Protected Mode von IE10 und IE11.

Microsofts nächster geplanter Patchday findet am 13. Mai statt. Ob das Unternehmen bis dahin einen Fix bereitstellen kann, bleibt abzuwarten. Eine Mitte Februar ebenfalls von FireEye entdeckte Zero-Day-Lücke im Internet Explorer hatte Microsoft im März geschlossen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen