News 03.01.2013, 08:28 Uhr

Sicherheitsleck im Internet Explorer

Eine neu entdeckte Schwachstelle im Internet Explorer 6 bis 8 wird für Angriffe im Web ausgenutzt. Microsoft hat als vorläufige Lösung ein Fix-it-Tool bereit gestellt, das die Ausnutzung der Sicherheitslücke verhindert.
Kurz vor Jahresende ist eine kritische Sicherheitslücke im Internet Explorer bekannt geworden. Sie wird bereits für gezielte Angriffe im Web ausgenutzt. Dabei handelt es sich um so genannte «Watering-Hole»-Angriffe: die Angreifer kompromittieren Websites, von denen sie annehmen, dass die Zielpersonen sie besuchen werden. Eine solche Website ist die der US-amerikanischen Denkfabrik «Council on Foreign Relations», die bereits vor Weihnachten verseucht wurde.
IE 9 und 10 nicht betroffen
Am 29. Dezember hat Microsoft die Sicherheitsempfehlung 2794220 veröffentlicht, in der das Unternehmen angibt, betroffen seien nur die Version 6, 7 und 8 des Internet Explorer (IE). Der IE 9 (für Windows ab Vista SP2 erhältlich) sowie der IE 10 (Windows 8, RT) sind demnach nicht anfällig. Microsoft hat weiter eine Fix-it-Lösung angekündigt, die es an Silvester bereit gestellt hat.
Das im KB-Artikel 2794220 veröffentlichte Fix-it-Tool 50971 verändert lediglich zwei Bytes in der Programmbibliothek mshtml.dll. Die Änderung erfolgt nicht permanent, sondern bei jedem Aufruf des Internet Explorer im Arbeitsspeicher. Sie soll mit einem zukünftigen Sicherheits-Update, das die eigentliche Schwachstelle behebt, kompatibel sein. Sie verlangsamt allerdings ein wenig den Browser-Start und sollte daher wieder entfernt werden, bevor das Sicherheits-Update installiert wird. Dies erledigt das Fix-it-Tool 50972, das im gleichen KB-Artikel bereit steht.
Die Sicherheitslücke im Internet Explorer wird durch einen mehrteiligen Exploit ausgenutzt. Die präparierte Webseite enthält Javascript-Code, der geeignete Ziele ermittelt. Ein spezielles Flash-Objekt versprüht dann Shell-Code im Arbeitsspeicher («Heap Spraying») – ohne Flash Player funktioniert dieser Angriffsvektor also nicht. Es gibt jedoch auch andere Möglichkeiten für diese zweite Stufe des Angriffs.
Weitere Details liefert Microsoft im SRD-Blog (Security Research and Development). Hier finden Administratoren auch Hinweise, wie sie einen (erfolglosen) Angriff auf Rechner mit IE 9 oder IE 10 aus Log-Dateien herauslesen können.
Wann Microsoft ein umfassendes Sicherheits-Update für den Internet Explorer bereit stellen wird, ist noch offen. Die nächste turnusmässige Gelegenheit dazu wäre bereits am kommenden Dienstag, denn am 8. Januar ist ohnehin Patch Day.



Kommentare
Es sind keine Kommentare vorhanden.