Categories: BrowserWorkspace

HP veröffentlicht ungepatchte Lecks im Internet Explorer

HP macht im Rahmen der Zero Day Initiative (ZDI) vier ungepatchte Sicherheitslücken publik. Die Lecks befinden sich im Internet Explorer unter Windows Phone, wie HP mitteilt. Laut HP sind die Schwachstellen Microsoft seit mindestens vier Monaten bekannt. Bislang hat der Hersteller aber nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost noch einmal betont, hält sich ZDI auch in diesem Fall an die eigene Maxime, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, ungeachtet dessen, ob der Hersteller einen Fix entwickelt hat.

Eine der Anfälligkeiten sollte Microsoft seit November bekannt sein. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Über das Leck lässt sich im IE Mobile beim Umgang mit HTML-Tabellen, Schadcode einschleusen und ausführen.

Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.

Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.

Ob und wann ein Patch für die vier Schwachstellen von Microsoft bereitgestellt wird, ist nicht bekannt. “Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen”, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Gericht der Europäischen Union hebt Kartellstrafe gegen Intel auf

Es stuft die wirtschaftliche Analyse der EU zu den Vorwürfen gegen Intel als unvollständig ein.…

5 Minuten ago

Bericht: Nvidia gibt Übernahme von ARM auf

Angeblich trifft der US-Chiphersteller erste Vorbereitungen für die Rücknahme seines Kaufangebots. Auslöser sind die geringen…

22 Stunden ago

Topics: Google stellt neuen Cookie-Nachfolger vor

Er löst den gescheiterten Vorschlag FLoC ab. Google verspricht mit Topics mehr Transparenz und Einflussnahme…

23 Stunden ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloud-Sparte ist erneut ein wichtiger Wachstumsmotor. Aber selbst das Geschäft mit Windows-OEM-Lizenzen erzielt ein…

24 Stunden ago

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

2 Tagen ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

2 Tagen ago