Kaspersky findet gravierende Lücke in Silverlight
Womöglich ist diese bereits seit 2013 bekannt. Erste Anhaltspunkte auf die Schwachstelle gingen schon aus Dokumenten hervor, die dem italienischen Spyware-Anbieter Hacking Team entwendet wurden. Seit Dienstag liefert Microsoft einen Patch, der die Lücke schließt.
Kaspersky Lab hat auf eine schwerwiegende Schwachstelle in Silverlight hingewiesen. Unter bestimmten Umständen ermöglicht sie es Angreifern, die vollständige Kontrolle über ein System zu übernehmen, um dann zum Beispiel Schadcode einzuspielen, persönliche Daten zu entwenden oder die Aktivitäten des Anwenders zu überwachen. Seit Dienstag liefert Microsoft für die Lücke mit der Kennung CVE-2016-0034 einen Patch aus.
Im Juli 2015 wurde Kaspersky durch einen Bericht über Einzelheiten aus den Unterlagen aufmerksam, die dem italienischen Spyware-Anbieter Hacking Team gestohlen worden waren. In dem Bericht wurde unter anderem aus einer E-Mail des russischen Hackers Witali Toropow von Oktober 2013 zitiert, in der er dem italiensichen Unternehmne einen Zero-Day-Exploit für Microsoft Silverlight offerierte.
“Dieser Teil der Geschichte weckte sofort unser Interesse. Ein vor mehr als zwei Jahren geschriebener Exploit für Microsoft Silverlight, der vielleicht überlebt hat? Falls das wahr wäre, dann wäre es ein schwerwiegender Fehler mit einem hohen Potenzial, viele wichtige Ziele erfolgreich anzugreifen”, schreibt Kaspersky. Silverlight integriert sich schließlich nicht nur in Internet Explorer, sondern auch in Firefox, womit durch eine Lücke in dem Programm weltweit sehr viele Rechner angreifbar sind.
Kaspersky wertete daraufhin auch weitere bekannte von Toropow geschriebene Exploits aus, um den Exploit für die unbekannte Silverlight-Lücke zu finden. Erste Indizien hätten Kasperskys hauseigene Erkennungssysteme schließlich im November 2015 geliefert. Die Untersuchung einer kurz darauf zum Scan-Service hochgeladenen Datei habe schließlich bestätigt, dass es sich um eine Zero-Day-Lücke in Silverlight handelte.
“Eine der größten Fragen bleibt, ob es sich um Witali Toropows Zero-Day-Lücke handelt, die er an Hacking Team verkaufen wollte. Oder ist es eine andere?”, ergänzt Kaspersky. Diese Frage lasse sich aber nicht abschließend beantworten.
Microsoft liefert das Silverlight-Update MS16-006 seit Dienstag aus. Es steht für Silverlight 5 und Silverlight 5 Developer Runtime für Windows und Mac OS X bereit. Laut Microsoft ermöglicht die Lücke mit der Kennung CVE-2016-0034 beim Besuch einer speziell gestalteten Website das Einschleusen und Ausführen von Schadcode.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.