Im Internet Explorer existiert eine kritische Sicherheitslücke, durch welche ein Angreifer das System kompromittieren kann. Dazu muss nur eine mit Angriffscode verseuchte Webseite mit dem Microsoft-Browser aufgerufen werden.

Die Zero Day Initiative (ZDI), die zu Hewlett Packard gehört, gibt an, dass sie Microsoft bereits am 3. Juni über die Lücke informiert haben, nachdem der Sicherheitsforscher Arthur Gerkis diese entdeckt hatte.

Daraufhin bestätigte Microsoft das Problem. Innerhalb von sechs Monaten wurde aber noch kein Patch geliefert. Die ZDI stellte im Rahmen einer Responsible Disclosure (verantwortungsvolle Veröffentlichung) Informationen zur Lücke ins Netz. Es handelt sich demnach um einen Use-After-Free-Fehler bei der Verarbeitung von C-Element-Objekten. Der Angreifer erlangt laut der ZDI durch die Lücke die Rechte des angemeldeten Nutzers. Wahrscheinlich wäre durch die Ausnutzung weiterer Schwachstellen eine Rechteausweitung möglich.

Aus dem Advisory geht nicht hervor, welche IE-Versionen genau betroffen sind. Es muss davon ausgegangen werden, dass die Lücke in sämtlichen Ausgaben klafft. Es ist derzeit noch unklar, ob die Schwachstelle am morgigen Dezember-Patchday beseitigt wird. Mindestens eins der Patch-Pakete soll auch eine odere mehrere kritische IE-Lücken abdichten.

Wenn nicht auf den Internet Explorer verzichtet werden kann, kann Sicherheit dadurch gewährleistet werden, indem unter "Internetoptionen, Sicherheit" die Sicherheitsstufe der Internetzone auf "hoch" gestellt wird. Die Ausführung aktiver Inhalte wie etwa ActiveX-Controls und Skript wird dadurch blockiert. Über "Stufe anpassen" kann festgelegt werden, dass der Bentuzer vor dem Ausführen gefragt wird. Aktive Inhalte sind bei den Server-Ausgaben standardmäßig blockiert. Laut der ZDI schützt auch das kostenlose Härtungstool EMET vor Ausnutzung der Lücke.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE