21. Juli 2015 Rudolf Felser

Kritische Sicherheitslücken in Microsoft Internet Explorer ungepatcht

Die "Zero Day Initiative" (ZDI) hat Informationen über mehrere noch ungepatchte Sicherheitslücken in Microsoft Internet Explorer veröffentlicht. [...]

Das Problem liegt im Umgang von Internet Explorer mit HTML Tables sowie CTreePos, CCurrentStyle und CAttrArray Objekten. Dies kann ausgenutzt werden, um beliebigen Code im Kontext des Internet Explorer-Prozesses, und damit mit den Rechten des angemeldeten Benutzers, auszuführen, schreibt CERT.at in seinem Blog. Da das Problem nun öffentlich bekannt ist, ist laut CERT.at damit zu rechnen, dass sich entsprechende Angriffe nun häufen werden. Auch eine Integration in Exploit Packs sei damit absehbar.

Da der Internet Explorer mit allen Versionen von Microsoft Windows ausgeliefert wird, sind alle Versionen von Microsoft Windows potenziell betroffen – inklusive Windows Phone und der Server-Editionen.

Da Microsoft noch keine Updates zur Verfügung gestellt hat, empfiehlt CERT.at andere Web-Browser einzusetzen und den Internet Explorer soweit möglich zu meiden. Wenn es unbeding tder Explorer sein muss, sollte nur auf absolut notwendige und vertrauenswürdige Seiten zugegriffen werden. Laut ZDI kann es auch ausreichend sein, „Active Scripting“ im Internet Explorer abzuschalten bzw. auf „Nachfrage vor Ausführung“ zu konfigurieren. CERT.at empfiehlt jedoch trotzdem, momentan so weit wie möglich auf Nutzung des Internet Explorers zu verzichten.

Weitere Details und Links finden sich im Blog von CERT.at. (rnf)

UPDATE 27.7.2015:
CERT.at hat seine Warnung letzten Freitag aktualisiert (https://cert.at/warnings/all/20150721.html). Laut einer E-Mail von CERT.at an Computerwelt.at habe die ZDI ihre Advisories korrigiert bzw. präzisiert. „Es ist offensichtlich nur (mehr) Internet Explorer Mobile von den Schwachstellen betroffen. Die Desktopversionen wurden anscheinend schon früher gepatcht“, schreibt CERT.at und führt ein Zitat an: „The four vulnerabilities originally were reported to Microsoft as affecting IE on the desktop, and later on it was discovered that they also affected IE Mobile on Windows Phones. Microsoft has patched all of the vulnerabilities in the desktop version of the browser, but the bugs remain open on IE Mobile. ZDI’s original advisories on these flaws said that they were zero days on Internet Explorer, as well. The company updated the advisories late Thursday to reflect the fact that the bugs only affect IE Mobile.“ (https://threatpost.com/four-zero-days-disclosed-in-internet-explorer/113911)


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*