Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen
Nach Angaben von Microsoft sind auch der Internet Explorer 5.01, 6 und 8 (Beta) potenziell für den veröffentlichten Zero-Day-Exploit anfällig. Neue Exploits unterlaufen zudem Microsofts empfohlene Datenausführungsverhinderung.
- Daniel Bachfeld
Nach Angaben von Microsoft sind auch Internet Explorer 5.01, 6 und 8 (Beta) potenziell für den veröffentlichten Zero-Day-Exploit anfällig. Bislang ging man davon aus, dass nur der Internet Explorer 7 die Lücke enthält. Allerdings hat man bislang noch keine Angriffe auf die Versionen 6 und 8 beobachtet. Im Zuge der Überarbeitung des Sicherheitshinweises bezüglich der Versionen hat Microsoft auch weitere Maßnahmen zur Abwehr der Angriffe aufgezeigt, die den Anwender bis zur Verfügbarkeit eines Patches schützen sollen.
Unter anderem empfiehlt Microsoft, die Datenausführungsverhinderung (DEP) respektive den Speicherschutz im Internet Explorer 7 zu aktivieren (Extras/Internetoptionen/Erweitert/Speicherschutz...), was allerdings im Browser selbst nur in der 32-Bit-Version unter Vista möglich ist. Für die 64-Bit-Version unter Vista ist DEP ohnehin global aktiviert. Die Konfiguration dieser Option über die Browsereinstellungen steht aber nicht unter Windows XP zur Verfügung. Hier muss der Anwender den Weg über System/Erweitert/Systemleistung/Datenausführungsverhinderung gehen und DEP für das gesamte System aktivieren.
Allerdings hat H. D. Moore hat jedoch vor Kurzem ein Metasploit-Modul für den Exploit veröffentlicht, das in einem Test von heise Security die Datenausführungsverhinderung sowohl unter Windows XP SP2 als auch Vista aushebelte und den eingeschleusten Code ausführte. Moore nutzt in seinem Modul dafür die Mitte des Jahres von Alexander Sotirov und Mark Dowd veröffentlichten Techniken.
Darüber hinaus empfiehlt Microsoft die Einstellungen für die Internet-Zone auf hoch zu stellen und den Zugriff auf die Bibliothek Oledb32.dll zu unterbinden. Nach Angaben der Redmonder soll dies derzeit der zuverlässigste Schutz sein. Eine genaue Anleitung für jedes Betriebssystem ist im Originalbericht von Microsoft zu finden.
Das Internet Storm Center berichtet unterdessen, dass der Exploit dem Anschein nach durch SQL-Injection-Angriffe in harmlose Webseiten gelangt. Da der Exploit-Code seit einigen Tagen bekannt ist, dürften sich solche Angriffe demnächst häufen. Administratoren sollten in den nächsten Wochen ein Auge auf ihre Server haben und die Logs auf verdächtige Aktivitäten in dieser Hinsicht kontrollieren.
Siehe dazu auch:
- Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security
- Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
(dab)
