Vier Sicherheitslücken im Internet Explorer Mobile entdeckt
Die von HPs Zero-Day-Initiative entdeckten Anfälligkeiten sind Microsoft seit mindestens vier Monaten bekannt. Eine Schwachstelle hat sich sogar bereits im November beim Hackerwettbewerb Mobile Pwn2Own offenbart. Laut Microsoft kursieren bislang keine Exploits für die Lücken.
HPs Zero Day Initiative (ZDI) hat vier bislang ungepatchte Schwachstellen im Internet Explorer unter Windows Phone entdeckt. Microsoft selbst weiß bereits seit mindestens vier Monaten von den Anfälligkeiten, hat bislang allerdings lediglich Patches für die Desktop-Ausgaben seines Browsers freigegeben. Wie ThreatPost berichtet, folgt ZDI damit seinem Grundsatz, vertraulich gemeldete Sicherheitslücken nach 120 Tagen zu veröffentlichen, selbst wenn der Hersteller noch keinen Patch dafür bereitgestellt hat.
Eine der Schwachstellen soll Microsoft sogar schon seit November bekannt sein. Sicherheitsexperten hatten sie während des Hacker-Wettbewerbs Mobile Pwn2Own vorgestellt. Ein Fehler in IE Mobile beim Umgang mit HTML-Tabellen erlaubt es, Schadcode einzuschleusen und auszuführen.
Die weiteren drei Sicherheitsprobleme treten ebenfalls auf, weil Microsofts Mobilbrowser mit gewissen Objekten nicht richtig umgehen kann. Laut ZDI handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es etwa ermöglichen, einen Zeiger erneut zu verwenden, nachdem er freigegeben wurde. In allen drei Fällen ist zudem eine Remotecodeausführung mit den Rechten des angemeldeten Anwenders möglich.
Zu Beginn hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler befänden sich auch im Internet Explorer für Desktop-PCs. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browservarianten.
Ob und wann ein Patch für die vier Sicherheitslecks erhältlich sein wird, ist derweil noch nicht bekannt. “Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen”, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.