Neue Lücke im Internet Explorer
Auf einschlägigen Webseiten ist ein Proof-of-Concept-Exploit für einen bislang unbekannten Fehler im Internet Explorer aufgetaucht, der den Browser zum Absturz bringt. Das US-CERT hält aber das Einschleusen von Code über die Lücke für möglich.
- Daniel Bachfeld
Auf einschlägigen Webseiten ist ein Proof-of-Concept-Exploit für eine bislang unbekannte Lücke im Internet Explorer aufgetaucht. Der Exploit bringt den Browser zwar nur zum Absturz, allerdings weisen das Internet Storm Center und das US-CERT darauf hin, dass sich über den Fehler sehr wahrscheinlich auch Code in den Speicher eines Windows-PC schleusen und ausführen lässt, genauere Analysen stehen aber noch aus.
Ursache des Absturzes ist ein Fehler im ActiveX-Control ADODB, einer einheitlichen Schnittstelle zu verschiedenen Datenbanksystemen. Der Exploit erzeugt ein neues ActiveX-Objekt und führt es mehrere Male aus. Dabei kommt es offenbar zu einem Speicherproblem. Betroffen ist der Internet Explorer 6 und in einigen Fällen der Internet Explorer 7. Allerdings ließ sich das Problem beim Internet Explorer 7 in ersten Tests nicht auf unterschiedlichen Systemen reproduzieren. So zeigte sich der Internet Explorer 7 unter Vista RC2 in den Standardeinstellungen völlig unbeeindruckt von dem Exploit. Allerdings können hier auch die sicheren Voreinstellungen den Absturz verhindert haben. Auf einen Windows XP SP2 stürzte die finale Version des Internet Explorer 7 hingegen ab.
Microsoft untersucht den Fehler bereits, hat allerdings noch keine Lösung vorgeschlagen. Das US-CERT schlägt indes vor, ActiveX zu deaktivieren oder das Kill-Bit für das verwundbare Control zu setzen. Dazu muss in der Registry unter der CLSID (00000514-0000-0010-8000-00AA006D2EA4) des Controls ein Schlüssel verändert werden. Wie man Kill-Bits setzt, zeigt ein Knowledge-Base-Artikel von Microsoft: How to stop an ActiveX control from running in Internet Explorer. Unerfahrene Anwender sollten von diesem Workaround allerdings Abstand nehmen und lieber ActiveX im Internet Explorer komplett deaktivieren oder einen anderen Browser einsetzen.
Schon Ende September entwickelte sich eine zuvor als unkritisch eingestufte DoS-Lücke im WebView-ActiveX-Control im Internet Explorer zu einem Riesenloch. Auch hier half es bis zum Erscheinen eines offiziellen Patches, das Control einfach zu deaktivieren.
Siehe dazu auch: (dab)
- ADODB.Connection POC Published., Blogeintrag des Microsoft Security Response Center
- ADODB.Connection ActiveX control unspecified vulnerability. Warnung des US-CERT
