Categories: SoftwareUnternehmen

Extrem kritischer IE-Bug macht die Runde

Nur kurz nachdem Sicherheits-Unternehmen wie Symantec und Secunia die erste Warnung vor dem neuen Leck im Microsoft-Browser veröffentlichten, haben beide die Gefahrenstufe noch einmal erhöht.

Der Fehler nutzt eine Schwachstelle des CreateTextRange bei JavaScript aus. Was die Hersteller dazu veranlasst hat, die Alarmstufe heraufzusetzen, ist die Tatsache, dass nun ein Exploit für den Fehler aufgetaucht ist.

“Das DeepSight-Team hat dieses Exploit getestet und bestätigt, dass es tatsächlich auch, wie angekündigt, bei einer voll gepatchten XP-Maschine erfolgreich ist”, teilte Symantec mit.

Das derzeit zirkulierende Exploit ist an sich harmlos. Es startet lediglich den Rechner in Windows XP. Dennoch warnen die Experten, denn auch für einen wenig geübten Hacker sei es ein Leichtes, den Code abzuändern und statt dessen ein anderes Programm ablaufen zu lassen. Daher erweiterte auch der dänische Sicherheitshersteller Secunia den Alarm auf ‘extrem kritisch’, in der Skala des Unternehmens die höchste Stufe.

Hersteller Microsoft hat den Fehler inzwischen bestätigt. “Unsere Nachforschungen haben ergeben, dass diese Verwundbarkeit einem Hacker erlauben kann, beliebigen Code auf dem System in dem Sicherheitsbereich des angemeldeten Nutzers auszuführen”, heißt es in der Mitteilung.

Jedoch seien bislang keine Fälle bekannt geworden, dass ein Hacker tatsächlich über die Schwachstelle in Systeme eingedrungen sei. Dazu müssten die Angegriffenen auf eine spezielle Seite gelenkt werden, wo das System über manipulierte Inhalte oder Werbebanner infiziert werden kann.

Eine andere Möglichkeit sei, die Nutzer über einen Link in einer Mail auf eine bösartige Seite zu lenken, oder den Schadcode in einem Dateianhang an einer Mail zu verbergen. In beiden Fällen reiche der Schaden so weit, wie die Rechte des angemeldeten Nutzers. Ist man also als Administrator an dem System angemeldet sei der potentielle Schaden weitaus höher, teilte Microsoft mit.

Nun hat Microsoft angekündigt, einen Patch für diesen Fehler zu liefern, bislang hat das Unternehmen jedoch noch keinen Zeitplan vorgelegt. Bis Microsoft den Fehler behebt, können sich Anwender schützen, indem sie die Sicherheitseinstellungen im Browser erhöhen oder Active Scripting deaktivieren.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago