Mal wieder hat die zu HP gehörende Zero Day Initiative (ZDI), nachdem Microsoft nach sechs Monaten immer noch keinen Patch geliefert hat, offene Lücken in Microsoft-Produkten veröffentlicht. Es handelt sich bei den vier Lücken um Bugs, die missbraucht werden können, um Schadcode auszuführen, in der mobilen Version des Internet Explorers. Das funktioniert allerdings wohl nur mit den Rechten des Browsers; erlaubt also ohne weiteres kein Kapern des gesamten Gerätes.

Microsoft erbat sich, nachdem die Sicherheitsforscher der ZDI die Lücken vertraulich an die Firma gemeldet hatten, mehr Zeit, um Patches zu produzieren. Die ZDI gibt solche Lücken normalerweise nach vier Monaten öffentlich bekannt. Zwei Monate Aufschub, die jetzt aber auch abgelaufen sind, bekam Microsoft und es ist nicht das erste Mal, dass Microsoft eine Deadline der ZDI verstreichen lässt. Die Firma scheint momentan noch kein Update, das die Sicherheitslücken stopft, veröffentlicht zu haben. Microsoft teilte mit, dass keine akuten Angriffe bekannt seien, man die Situation aber beobachte.

Die Sicherheitslücken stammen noch aus dem letzten Jahr von HPs Mobile Pwn2Own-Wettbewerb. Ob sie missbraucht werden können, um die eingebaute Sandbox des Browsers zu durchbrechen, ist noch nicht ganz klar. Dass ein Angreifer sein Opfer, um die Bugs auszulösen, auf eine präparierte Webseite locken muss, ist allerdings sicher. Die Lücken können, auch wenn sie die Sandbox nicht durchbrechen, eventuell mit anderen Lücken kombiniert werden. Ein Angreifer könnte so die komplette Kontrolle über das Gerät erhalten.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE