Weitere unbekannte Lücke im Internet Explorer wird bereits ausgenutzt
Offenbar nutzen präparierte Webseiten einen bislang unbekannten Buffer Overflow bei der Verarbeitung der Vector Markup Language aus, um Code in ein vollständig gepatchtes Windows XP SP2 einzuschleusen und auszuführen.
- Daniel Bachfeld
Eine bislang unbekannte Lücke im Internet Explorer soll nach Angaben des Sicherheitsunternehmens Sunbelt bereits von einigen Webseiten ausgenutzt werden, um Besucher mit Trojanern und Spyware zu infizieren. Wie lange dies bereits geschieht, ist unklar, Sunbelt ist nach US-Medienberichten auch nur während der routinemäßigen Beobachtung bekannter "Crimeware Gangs" auf die Lücke gestoßen.
Offenbar nutzen die präparierten Webseiten – in der Mehrzahl wohl Pornoseiten – einen Buffer Overflow bei der Verarbeitung der Vector Markup Language (VML) im Browser aus, um Code in ein vollständig gepatchtes Windows XP SP2 einzuschleusen und mit den Rechten des Anwenders auszuführen – in der Regel als Administrator. Weitere Details veröffentlicht Sunbelt vorerst nicht. Ein Patch ist derzeit nicht verfügbar. Microsoft soll über die neue Lücke informiert sein. Abhilfe bringt aber jetzt schon das Deaktivieren von JavaScript.
Bei dem vergangene Woche gemeldeten Zero-Day-Exploit für eine Lücke in DirectAnimantion-ActiveX-Control des Internet Explorer hilft indes nur das Abschalten von ActiveX, um sich vor Angriffen zu schützen. Hier beruht die Schwachstelle ebenfalls auf einem Pufferüberlauf. Allerdings funktionieren die dafür bislang bekannten Proof-of-Concept-Exploits nach bisherigen Erkenntnissen nur auf chinesischen Windows-Versionen. Auch für diese Lücke gibt es keinen Patch. Microsoft arbeitet aber bereits daran und will am nächsten Patchday ein Update bereitstellen.
Aufgrund des Risikos sollten Anwender erwägen, einen anderen Browser einzusetzen. Sofern die Wahl auf Firefox, Mozilla oder Seamonkey fällt, sollte man aber darauf achten, die aktuellste Version einzusetzen, da auch diese Browserfamilie in der Vergangenheit Schwachstellen aufwies. Zuletzt wurden mehrere Lücken Ende letzter Woche gestopft, vier davon stuften die Entwickler als kritisch ein. Exploits dafür wurden allerdings noch nicht gesichtet. Auch Opera stellt eine Alternative dar, inbesondere weil es so gut wie keine Exploits für bekannte Lücken gibt. Nach Aussage von Sicherheitspezialisten soll ein Grund dafür sein, dass Exploits unter Opera kaum stabil zum Laufen zu bekommen sind.
Siehe dazu auch: (dab)
- Seen in the wild: Zero Day exploit being used to infect PCs, Blogeintrag von Sunbelt
