21. Juli 2015 Rudolf Felser

Kritische Sicherheitslücken in Microsoft Internet Explorer ungepatcht

Die "Zero Day Initiative" (ZDI) hat Informationen über mehrere noch ungepatchte Sicherheitslücken in Microsoft Internet Explorer veröffentlicht. [...]

Das Problem liegt im Umgang von Internet Explorer mit HTML Tables sowie CTreePos, CCurrentStyle und CAttrArray Objekten. Dies kann ausgenutzt werden, um beliebigen Code im Kontext des Internet Explorer-Prozesses, und damit mit den Rechten des angemeldeten Benutzers, auszuführen, schreibt CERT.at in seinem Blog. Da das Problem nun öffentlich bekannt ist, ist laut CERT.at damit zu rechnen, dass sich entsprechende Angriffe nun häufen werden. Auch eine Integration in Exploit Packs sei damit absehbar.

Da der Internet Explorer mit allen Versionen von Microsoft Windows ausgeliefert wird, sind alle Versionen von Microsoft Windows potenziell betroffen – inklusive Windows Phone und der Server-Editionen.

Da Microsoft noch keine Updates zur Verfügung gestellt hat, empfiehlt CERT.at andere Web-Browser einzusetzen und den Internet Explorer soweit möglich zu meiden. Wenn es unbeding tder Explorer sein muss, sollte nur auf absolut notwendige und vertrauenswürdige Seiten zugegriffen werden. Laut ZDI kann es auch ausreichend sein, „Active Scripting“ im Internet Explorer abzuschalten bzw. auf „Nachfrage vor Ausführung“ zu konfigurieren. CERT.at empfiehlt jedoch trotzdem, momentan so weit wie möglich auf Nutzung des Internet Explorers zu verzichten.

Weitere Details und Links finden sich im Blog von CERT.at. (rnf)

UPDATE 27.7.2015:
CERT.at hat seine Warnung letzten Freitag aktualisiert (https://cert.at/warnings/all/20150721.html). Laut einer E-Mail von CERT.at an Computerwelt.at habe die ZDI ihre Advisories korrigiert bzw. präzisiert. „Es ist offensichtlich nur (mehr) Internet Explorer Mobile von den Schwachstellen betroffen. Die Desktopversionen wurden anscheinend schon früher gepatcht“, schreibt CERT.at und führt ein Zitat an: „The four vulnerabilities originally were reported to Microsoft as affecting IE on the desktop, and later on it was discovered that they also affected IE Mobile on Windows Phones. Microsoft has patched all of the vulnerabilities in the desktop version of the browser, but the bugs remain open on IE Mobile. ZDI’s original advisories on these flaws said that they were zero days on Internet Explorer, as well. The company updated the advisories late Thursday to reflect the fact that the bugs only affect IE Mobile.“ (https://threatpost.com/four-zero-days-disclosed-in-internet-explorer/113911)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*