Anwender des Internet Explorer erneut gefährdet
Für die kürzlich gemeldete createTextRange()-Lücke sind erste Exploits aufgetaucht, die Internet-Explorer-Nutzern Schadcode unterschieben. Microsoft reagiert mit einer Sicherheitsmeldung auf den zweiten Zero-Day des Jahres.
Für die kürzlich gemeldete createTextRange()-Lücke sind erste Exploits aufgetaucht, die Internet-Explorer-Nutzern Schadcode unterschieben. Microsoft hat inzwischen mit einer Sicherheitsmeldung reagiert, in der auch Workarounds vorgestellt werden.
In der Meldung erläutert das Unternehmen, dass über die Lücke Code eingeschleust werden kann, der mit den Rechten des Benutzers ausgeführt wird. Als Workaround schlagen die Redmonder vor, Active Scripting zu deaktivieren oder den Browser zumindest vor der Ausführung Warnmeldungen ausgeben zu lassen, indem die Sicherheitsstufe für die Zonen Lokal und Internet auf Hoch gesetzt wird. Weiterhin kündigen die Sicherheitsexperten ein Update für die Schwachstelle an.
Der jetzt aufgetauchte Proof-of-Concept-Exploit demonstriert die Lücke, indem er beim Aufruf der Webseite den Windows-Taschenrechner aufruft. Dabei stürzt der Internet Explorer in Tests von heise Security ohne weitere Meldung ab, nachdem das JavaScript einige Zeit sämtlichen Speicher vollschreibt und damit den Rechner lahm legt. Delikat: In das JavaScript-Gerüst lässt sich ohne große Vorkenntnisse Schad- oder Shellcode nachrüsten.
Neben dieser kritischen Sicherheitslücke sind derzeit noch zwei weitere Schwachstellen im Internet Explorer offen, ohne dass Workarounds hierfür bekannt wären. Die von dem Niederländer Jeffrey van der Stad entdeckte hta-Lücke erlaubt es Angreifern, in diesen HTML-Anwendungen eingebetteten Code mit den Rechten des Benutzers auszuführen. Bei der von Michal Zalewski entdeckten Lücke beim Verarbeiten von mehr als 63 Script-Action-Handlern wie onClick in einem HTML-Tag gehen die Meinungen über die Tragweite derweil auseinander. Der Sicherheitsdienstleister Secunia stuft die Schwachstelle nur als Denial-of-Service ein, während Zalewski glaubt, dass über sie eingeschmuggelter Code zur Ausführung kommen könnte.
Da für die Sicherheitslücken noch keine Patches zur Verfügung stehen, sollte der Internet Explorer nur auf vertrauenswürdigen Seiten wie etwa dem Intranet-Portal in der Firma genutzt werden. Für das weltweite Netz scheinen die Alternativbrowser wie Opera oder Firefox zurzeit die sicherere Wahl zu sein.
Siehe dazu auch: (dmk)
- Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
- Proof-of-Concept-Exploit, auf Milw0rm
- Weitere kritische, ungepatchte Lücke im Internet Explorer [Update], Meldung der createTextRange()-Lücke von heise Security
- Neue Lücke im Internet Explorer, Meldung der hta-Lücke von heise Security
- Neue ungepatchte Sicherheitslücke im Internet Explorer, Meldung der Script-Action-Handler-Lücke von heise Security
