HP macht im Rahmen der Zero Day Initiative (ZDI) vier ungepatchte Sicherheitslücken publik. Die Lecks befinden sich im Internet Explorer unter Windows Phone, wie HP mitteilt. Laut HP sind die Schwachstellen Microsoft seit mindestens vier Monaten bekannt. Bislang hat der Hersteller aber nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost noch einmal betont, hält sich ZDI auch in diesem Fall an die eigene Maxime, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, ungeachtet dessen, ob der Hersteller einen Fix entwickelt hat.
Eine der Anfälligkeiten sollte Microsoft seit November bekannt sein. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Über das Leck lässt sich im IE Mobile beim Umgang mit HTML-Tabellen, Schadcode einschleusen und ausführen.
Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.
Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.
Ob und wann ein Patch für die vier Schwachstellen von Microsoft bereitgestellt wird, ist nicht bekannt. “Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen”, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.