HP macht im Rahmen der Zero Day Initiative (ZDI) vier ungepatchte Sicherheitslücken publik. Die Lecks befinden sich im Internet Explorer unter Windows Phone, wie HP mitteilt. Laut HP sind die Schwachstellen Microsoft seit mindestens vier Monaten bekannt. Bislang hat der Hersteller aber nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost noch einmal betont, hält sich ZDI auch in diesem Fall an die eigene Maxime, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, ungeachtet dessen, ob der Hersteller einen Fix entwickelt hat.
Eine der Anfälligkeiten sollte Microsoft seit November bekannt sein. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Über das Leck lässt sich im IE Mobile beim Umgang mit HTML-Tabellen, Schadcode einschleusen und ausführen.
Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.
Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.
Ob und wann ein Patch für die vier Schwachstellen von Microsoft bereitgestellt wird, ist nicht bekannt. “Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen”, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…