Eine weitere Sicherheitslücke in Microsoft-Produkten wurde von Google öffentlich gemacht. Dabei steckt der Fehler in den Browsern Internet Explorer und Edge. Unter Umständen kann ein Angreifer einen Absturz der Browser auslösen, Schadcode einschleusen und ausführen.

Es handelt sich bei der nun als Zero-Day-Lücke eingestuften Schwachstelle laut Google um einen Fehler in einer HTML-Funktion. Die Google-Forscher liefern sogar einen Proof-of-Concept dazu. Laut einer Mail von Carsten Eiram, dem Chief Research Officer des Sicherheitsanbieters Risk Based Security an Computerworld ist kein Exploit verfügbar. Allerdings liegt ein Proof-of-Concept vor, der zeigen soll, dass ein Absturz möglich ist.

Nach eigenen Angaben hat Google die Anfälligkeit nur mit der 64-Bit-Version von Internet Explorer 11 unter Windows Server 2012 R2 getestet. In Googles Advisory heißt es zusätzlich: „Allerdings sollten sich Microsoft Edge und IE 11 32-Bit ähnlich verhalten“.

Die Risk Based Security Forscher bestätigten zusätzlich, dass sich die Schwachstelle auch auf einem vollständig gepatchten Windows-10-System ausnutzen lässt. Die Anfälligkeit im Common Vulnerability Scoring System bewerten sie mit 6,8 von 10 Punkten, da Schadcode theoretisch auch ausgeführt werden könnte.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE