Categories: BrowserCybersicherheitUnternehmenWorkspace

Microsoft warnt vor Zero-Day-Lücke in Internet Explorer

Microsoft warnt vor einer Zero-Day-Lücke im Internet Explorer. Betroffen sind die Versionen 6 bis 11 des Browser. Wie der Softwarekonzern mitteilt, werde die Schwachstelle für zielgerichtete Angriffe auf IE 9, 10 und 11 genutzt. Es ist die erste Sicherheitslücke, die in Windows XP nicht gepatcht wird.

Die Zero-Day-Lücke hat das Sicherheitsunternehmen FireEye entdeckt. Wie es berichtet, handelt es sich um einen Use-after-free-Bug. Mit diesem besteht die Möglichkeit, Objekte im Speicher zu manipulieren, nachdem sie freigegeben wurden. Darüber hinaus können Angreifer den Exploit nutzen, um die Sicherheitsfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) und Adress Space Layout Randomization (ASLR) zu umgehen.

Der Exploit manipuliert FireEye zufolge den Speicher mit einer Adobe-Flash-Datei. Die verwendete Technik wird als Heap Feng Shui (PDF) bezeichnet. Obwohl die eigentliche Schwachstelle im Internet Explorer steckt, sind Windows-Systeme ohne installierten Flash Player offenbar nicht mit dieser Methode angreifbar. Allerdings weisen weder Microsoft noch FireEye daraufhin. Da IE10 und 11 über ein integriertes Flash-Plug-in verfügen, sind sie immer betroffen.

Wie Microsoft-Sprecher Dustin Childs im Blog des Security Response Center erklärt, könne ein Angreifer die Zero-Day-Lücke mittels einer manipulierten Website ausnutzen. Opfer müssen dafür nur einen in eine E-Mail oder eine Chat-Nachricht eingebetteten Link folgen, um auf eine infizierte Seite zu gelangen.

“Wir beobachten die Bedrohungslage sehr genau und werden geeignete Maßnahmen ergreifen, um unsere Kunden zu schützen”, so Childs weiter. Vor potentiellen Gefahren schütze das Enhanced Mitigation Experience Toolkit (EMET). Das gelte auch für den Enhanced Protected Mode von IE10 und IE11.

Inzwischen warnt sogar das United States Computer Emergency Readiness Team (US-CERT) des US-Heimatschutzministerium vor der Lücke. Anwender sollten auf einen anderen Browser ausweichen, bis Microsoft das Problem behoben habe. Zudem sollten auf den Rechnern das EMET-Tool ausgeführt werden, empfiehlt die Behörde.

Der nächste Patchday von Microsoft ist für den 13. Mai geplant. Noch ist nicht bekannt, ob der Softwarekonzern bis dahin einen Fix bereitstellen wird. Microsoft hatte im März eine Mitte Februar ebenfalls von FireEye entdeckte Zero-Day-Lücke im Internet Explorer geschlossen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

NextSAP-Schnittstelle Xtract Universal jetzt auch für Tableau verfügbar »

Previous « Amazon Web Services schließt Partnerschaft mit Beck et al. Services

View Comments

Martin says:

28.4.2014 at 15:41 Uhr

War das nicht irgendwo klar, es haben doch sämtliche Fachzeitschriften gewarnt das es nur eine Frage der zeit ist.