Weitere Zero-Day-Lücke im Internet Explorer bekannt geworden

BrowserSicherheitSicherheitsmanagementWorkspace
Internet Explorer 10 Logo (Bild: Microsoft)

Über sie können Angreifern Schadcode einschleusen und ausführen. Es reicht aus, wenn sie Nutzer dazu bewegen, eine manipulierte Website aufzurufen oder eine spezielle Datei zu öffnen. Microsoft weiß bereits seit 3. Juni über die Lücke Bescheid. Möglicherweise wird sie aber erst am heutigen Patchday geschlossen.

Nutzer des Internet Explorer müssen seit über einem halben Jahr mit einer als kritisch eingestuften Sicherheitslücke leben. Das berichten die Experten der Zero-Day Initiative (ZDI) des zu HP gehörenden Unternehmens TippingPoint. Sie haben es sich selbst zur Pflicht gemacht, Zero-Day-Lücken offenzulegen, für die seit mehr als 180 Tagen kein Patch erschienen ist.

Weitere Zero-Day-Lücke im Internet Explorer bekannt geworden (Bild: Microsoft)

Ihrem Bericht zufolge können Angreifer über die Schwachstelle Schadcode im Internet Explorer auszuführen. Es genügt, dass sie zuvor den Nutzer auf eine manipulierte Website locken oder er im Internet Explorer eine infizierte Datei öffnet.

Eigenen Angaben zufolge hat die Zero Day Initiative Microsoft am 3. Juni über die von Sicherheitsforscher Arthur Gerkis entdeckte Sicherheitslücke informiert. Microsoft bestätigte das Problem zwar, hat es aber bis heute nicht beseitigt.

Bei dem Problem handelt es sich laut ZDI um einen Use-after-free-Bug bei der Verarbeitung von CElement-Objekten. Wenn Angreifer es ausnutzn, können sie die Rechte des angemeldeten Nutzers erlangen. Zum Beispiel erhalten sie Administratorrechte, wenn Anwender das System mit diesen nutzen, was unter Windows oft der Fall ist.

Welche Versionen des Internet Explorer von der Lücke betroffen sind, teilte die ZDI nicht mit. Sie steckt wahrscheinlich aber in allen Versionen. Microsoft schließt sie möglicherweise am heutigen Dezember-Patchday. Zumindest hat der Konzern im Vorfeld Updates für kritische Lücken in Office, Windows und Internet Explorer angekündigt.

Um sich bis provisorisch vor Angriffen über die Schwachstelle zu schützen, sollten Nutzer des Internet Explorer die Sicherheitsstufe für die Internet-Zone auf “hoch” stellen. Dadurch werden ActiveX Controls und Active Scripting blockiert. Außerdem empfiehlt es sich, den Browser so zu konfigurieren, dass er vor der Ausführung von Active Scripting warnt. Alternativ lässt sich Active Scripting in den Sicherheitszonen Internet und lokales Intranet deaktivieren. Unter Windows Server werden aktive Inhalte standardmäßig blockiert. Microsoft rät darüber hinaus generell zur Installation des Anti-Hack-Tools Enhanced Mitigation Experience Toolkit (EMET).

Erst Ende November hatte Eset darauf hingewiesen, dass eine kurz zuvor gepatchte Lücke im Internet Explorer jetzt aktiv ausgenutzt wird. Auch diese Malware erreichte ihr Ziel bereits, wenn der Nutzer eine infizierte Website lediglich besuchte. Daher empfahl Eset Nutzer des IE diesen schleunigst auf den neuesten Stand zu bringen. Es liegt also nahe, dass auch bei der nun bekannt gewordenen Lücke Kriminelle versuchen werden diese auszunutzen, selbst wenn Microsoft heute noch den Patch liefert. Denn offensichtlich gibt es immer genug Anwender, die sich mit dem Einspielen Zeit lassen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen