Die "Zero Day Initiative" (ZDI) hat Informationen über mehrere noch ungepatchte Sicherheitslücken in Microsoft Internet Explorer veröffentlicht. [...]
Das Problem liegt im Umgang von Internet Explorer mit HTML Tables sowie CTreePos, CCurrentStyle und CAttrArray Objekten. Dies kann ausgenutzt werden, um beliebigen Code im Kontext des Internet Explorer-Prozesses, und damit mit den Rechten des angemeldeten Benutzers, auszuführen, schreibt CERT.at in seinem Blog. Da das Problem nun öffentlich bekannt ist, ist laut CERT.at damit zu rechnen, dass sich entsprechende Angriffe nun häufen werden. Auch eine Integration in Exploit Packs sei damit absehbar.
Da der Internet Explorer mit allen Versionen von Microsoft Windows ausgeliefert wird, sind alle Versionen von Microsoft Windows potenziell betroffen – inklusive Windows Phone und der Server-Editionen.
Da Microsoft noch keine Updates zur Verfügung gestellt hat, empfiehlt CERT.at andere Web-Browser einzusetzen und den Internet Explorer soweit möglich zu meiden. Wenn es unbeding tder Explorer sein muss, sollte nur auf absolut notwendige und vertrauenswürdige Seiten zugegriffen werden. Laut ZDI kann es auch ausreichend sein, „Active Scripting“ im Internet Explorer abzuschalten bzw. auf „Nachfrage vor Ausführung“ zu konfigurieren. CERT.at empfiehlt jedoch trotzdem, momentan so weit wie möglich auf Nutzung des Internet Explorers zu verzichten.
Weitere Details und Links finden sich im Blog von CERT.at. (rnf)
UPDATE 27.7.2015:
CERT.at hat seine Warnung letzten Freitag aktualisiert (https://cert.at/warnings/all/20150721.html). Laut einer E-Mail von CERT.at an Computerwelt.at habe die ZDI ihre Advisories korrigiert bzw. präzisiert. „Es ist offensichtlich nur (mehr) Internet Explorer Mobile von den Schwachstellen betroffen. Die Desktopversionen wurden anscheinend schon früher gepatcht“, schreibt CERT.at und führt ein Zitat an: „The four vulnerabilities originally were reported to Microsoft as affecting IE on the desktop, and later on it was discovered that they also affected IE Mobile on Windows Phones. Microsoft has patched all of the vulnerabilities in the desktop version of the browser, but the bugs remain open on IE Mobile. ZDI’s original advisories on these flaws said that they were zero days on Internet Explorer, as well. The company updated the advisories late Thursday to reflect the fact that the bugs only affect IE Mobile.“ (https://threatpost.com/four-zero-days-disclosed-in-internet-explorer/113911)
Be the first to comment