Alte IE-Lücke gefährlicher als angenommen

Die Schwachstelle steckt in der Funktion ActiveX Control ‘WebViewsFolderIcon’, die nach Angaben von Symantec in Windows 2000, Windows XP und Windows Server integriert ist. Die Lücke kann dazu ausgenutzt werden, um im Internet Explorer einen Pufferüberlauf zu verursachen und danach manipulierten Code auf einen Rechner einzuschleusen. Laut Secunia existiert das Problem auch für Windows XP mit Service Pack 2.

Der Sicherheitsforscher H.D. Moore von Metasploit hatte die Lücke bereits im Juli entdeckt – damals war man allerdings noch davon ausgegangen, dass sie den Browser bloß zum Absturz bringen könne. Nun berichtet Moore von einem Exploit, das beweist, dass die Lücke wesentlich gefährlicher ist.

“Jetzt steht ein funktionsfähiger Exploit zur Verfügung und ein offizieller Patch von Microsoft wird voraussichtlich erst irgendwann in der Zukunft veröffentlicht”, heißt es von Symantec. Von Microsoft gibt es auch bislang kein Advisory zu dem Loch und die Sicherheitsforscher empfehlen Nutzern deshalb einmütig, ActiveX Controls auf unbekannten Webseiten zu meiden. 

Silicon-Redaktion

Recent Posts

Bosch plant Milliardengeschäft mit Fabriksoftware

Anlässlich der bevorstehenden Hannovermesse gibt das Technologieunternehmen Einblicke in den Ausbau seines Industrie 4.0-Portfolios.

2 Stunden ago

Rechnet sich Hardware-Produktion in Deutschland?

„Wer es richtig macht, kann auch mit den hiesigen Rahmenbedingungen erfolgreich sein“, sagt Christian Herzog,…

20 Stunden ago

Quantencomputer: Die (noch) unterschätzte Gefahr

Für Unternehmen birgt Quantencomputing unbekannte Gefahren für die eigene Cybersicherheit, warnt Dr. Raphaela Schätz von…

21 Stunden ago

Background: Air Gaps als effektive Strategie für Datensicherheit?

Wie eine abgestufte Backup-Architektur mit Datenbunkern langfristige, hochverfügbare Speicher ermöglicht.

2 Tagen ago

Passwörter adé: Sicherheitsarchitektur ohne Schwachstellen

Die passwortlose Authentifizierung stellt den klassischen Ansatz der Verwendung von Passwörtern in Frage, sagt Dirk…

3 Tagen ago

SIGNAL IDUNA integriert KI in Kundenservice

Generativer Wissensassistent für die KV soll Mitarbeitende im Kundenservice signifikant entlasten und mehr Zeit für…

4 Tagen ago