Microsoft warnt vor Zero-Day-Lücke in Internet Explorer
Die Zero-Day-Lücke betrifft alle Versionen des Internet Explorer. Allerdings wird die Sicherheitslücke momentan nur in Internet Explorer 9, 10 und 11 aktiv angegriffen. Der Exploit setzt eine Flash-Datei ein, um einen Use-after-free-Bug auszunutzen.
Microsoft warnt vor einer Zero-Day-Lücke im Internet Explorer. Betroffen sind die Versionen 6 bis 11 des Browser. Wie der Softwarekonzern mitteilt, werde die Schwachstelle für zielgerichtete Angriffe auf IE 9, 10 und 11 genutzt. Es ist die erste Sicherheitslücke, die in Windows XP nicht gepatcht wird.
Die Zero-Day-Lücke hat das Sicherheitsunternehmen FireEye entdeckt. Wie es berichtet, handelt es sich um einen Use-after-free-Bug. Mit diesem besteht die Möglichkeit, Objekte im Speicher zu manipulieren, nachdem sie freigegeben wurden. Darüber hinaus können Angreifer den Exploit nutzen, um die Sicherheitsfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) und Adress Space Layout Randomization (ASLR) zu umgehen.
Der Exploit manipuliert FireEye zufolge den Speicher mit einer Adobe-Flash-Datei. Die verwendete Technik wird als Heap Feng Shui (PDF) bezeichnet. Obwohl die eigentliche Schwachstelle im Internet Explorer steckt, sind Windows-Systeme ohne installierten Flash Player offenbar nicht mit dieser Methode angreifbar. Allerdings weisen weder Microsoft noch FireEye daraufhin. Da IE10 und 11 über ein integriertes Flash-Plug-in verfügen, sind sie immer betroffen.
Wie Microsoft-Sprecher Dustin Childs im Blog des Security Response Center erklärt, könne ein Angreifer die Zero-Day-Lücke mittels einer manipulierten Website ausnutzen. Opfer müssen dafür nur einen in eine E-Mail oder eine Chat-Nachricht eingebetteten Link folgen, um auf eine infizierte Seite zu gelangen.
“Wir beobachten die Bedrohungslage sehr genau und werden geeignete Maßnahmen ergreifen, um unsere Kunden zu schützen”, so Childs weiter. Vor potentiellen Gefahren schütze das Enhanced Mitigation Experience Toolkit (EMET). Das gelte auch für den Enhanced Protected Mode von IE10 und IE11.
Inzwischen warnt sogar das United States Computer Emergency Readiness Team (US-CERT) des US-Heimatschutzministerium vor der Lücke. Anwender sollten auf einen anderen Browser ausweichen, bis Microsoft das Problem behoben habe. Zudem sollten auf den Rechnern das EMET-Tool ausgeführt werden, empfiehlt die Behörde.
Der nächste Patchday von Microsoft ist für den 13. Mai geplant. Noch ist nicht bekannt, ob der Softwarekonzern bis dahin einen Fix bereitstellen wird. Microsoft hatte im März eine Mitte Februar ebenfalls von FireEye entdeckte Zero-Day-Lücke im Internet Explorer geschlossen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de