Kritische Zero-Day-Lücke im Internet Explorer

In Microsofts Internet Explorer klafft eine kritische Sicherheitslücke, durch die ein Angreifer das System kompromittieren kann. Es genügt, eine mit Angriffscode verseuchte Webseite mit dem Microsoft-Browser aufzurufen – und dann kann prinzipiell jede sein. Die zu Hewlett Packard gehörende Zero Day Initiative (ZDI) gibt an, Microsoft bereit am 3. Juni über die Lücke informiert zu haben, nachdem sie der Sicherheitsforscher Arthur Gerkis entdeckt hatte.

180 Tage ohne Patch

Microsoft bestätigte daraufhin das Problem, lieferte aber innerhalb von sechs Monaten keinen Patch. Im Rahmen einer Responsible Disclosure (verantwortungsvolle Veröffentlichungt) stellte die ZDI nun Informationen zur Lücke ins Netz. Demnach handelt es sich um einen Use-After-Free-Fehler bei der Verarbeitung von CElement-Objekten. Laut der ZDI erlangt der Angreifer durch die Lücke die Rechte des angemeldeten Nutzers. Durch die Ausnutzung weiterer Schwachstellen wäre jedoch wahrscheinlich eine Rechteausweitung möglich.

Welche IE-Versionen genau betroffen sind, geht aus dem Advisory nicht hervor. Man muss davon ausgehen, dass die Lücke in sämtlichen Ausgaben klafft. Unklar ist derzeit noch, ob Microsoft die Schwachstelle an seinem morgigen Dezember-Patchday beseitigen wird. Wenigstens eines der angekündigten Patch-Pakete soll auch eine odere mehrere kritische IE-Lücken abdichten.

Schutzmaßnahmen

Wer weiterhin nicht auf den Internet Explorer verzichten will oder kann, schützt sich, indem er unter "Internetoptionen, Sicherheit" die Sicherheitsstufe der Internetzone auf "hoch" stellt. Dadurch wird die Ausführung aktiver Inhalte wie etwa Skript und ActiveX-Controls blockiert. Über "Stufe anpassen" kann man darüber hinaus festlegen, dass man vor dem Ausführen gefragt wird. Bei den Server-Ausgaben werden aktive Inhalte standardmäßig blockiert. Nach ZDI-Angaben sorgt auch das kostenlose Härtungstool EMET für Schutz vor Ausnutzung der Lücke. (rei)