Internet Explorer von Lücken geplagt

Kurz vor Weihnachten hat ein chinesischer Sicherheitsforscher zwei Sicherheitslücken im Internet Explorer veröffentlicht, gegen die es von Microsoft bislang noch kein Update gibt. Neben der von Microsoft als kritisch eingestuften CSS-Lücke steckt eine zweite Schwachstelle in einem ActiveX-Steuerelement. Damit soll das Einschleusen von Code möglich sein.

Die wie die CSS-Lücke auf der Website WooYun.org mitsamt Demo-Exploit veröffentlichte Schwachstelle ist nur ausnutzbar, wenn die Microsoft WMI Administrative Tools (WMI: Windows Management Instrumentation) installiert sind. Darin ist die anfällige ActiveX-Komponente WBEMSingleView.ocx enthalten. Dieser WMI Object Viewer enthält die Funktionen AddContextRef() und ReleaseContext(), denen ein Zeiger auf ein Objekt übergeben werden kann, was zur Ausführung von eingeschleustem Code führt.

Die Lücke kann ausgenutzt werden, indem ein Angreifer einen Benutzer, in dessen Internet Explorer diese ActiveX-Komponente installiert ist, auf eine speziell präparierte Web-Seite lockt. Der Demo-Exploit öffnet den Windows Taschenrechner. Abhilfe schafft das Setzen des Kill-Bit für diese Komponente, deren CLSID 2745E5F5-D234-11D0-847A-00C04FD7BB08 lautet.

Eine Stellungnahme von Microsoft zur dieser zweiten Sicherheitslücke gibt es noch nicht.