Vier offene Lücken im mobilen Internet Explorer
HPs hatte vor sechs Monaten vier Lücken in der mobilen Version des Internet Explorers an Microsoft gemeldet. Nachdem ein Update immer noch aussteht, wurden nun die Details veröffentlicht. Die Lücken ermöglichen das Ausführen von Schadcode aus der Ferne.
- Fabian A. Scherschel
Die zu HP gehörende Zero Day Initiative (ZDI) hat mal wieder offene Lücken in Microsoft-Produkten veröffentlicht, nachdem Microsoft nach sechs Monaten immer noch keinen Patch geliefert hat. Bei den vier Lücken handelt es sich um Bugs in der mobilen Version des Internet Explorers, die missbraucht werden können, um Schadcode auszuführen. Allerdings funktioniert das wohl nur mit den Rechten des Browsers und erlaubt nicht ohne weiteres ein Kapern des gesamten Gerätes.
Ein Update lässt auf sich warten
Nachdem die Sicherheitsforscher der ZDI die Lücken vertraulich an Microsoft gemeldet hatten, erbat sich die Firma mehr Zeit, um Patches zu produzieren. Normalerweise gibt die ZDI solche Lücken nach vier Monaten öffentlich bekannt. Die ZDI gab zwei Monate Aufschub, aber auch die sind jetzt abgelaufen. Das ist nicht das erste Mal, dass Microsoft eine Deadline der ZDI verstreichen lässt. Momentan scheint die Firma noch kein Update veröffentlicht zu haben, das die Sicherheitslücken stopft. Es seien keine akuten Angriffe bekannt, man beobachte die Situation aber, teilte Microsoft mit.
Die Sicherheitslücken stammen noch von HPs Mobile Pwn2Own-Wettbewerb aus dem letzten Jahr. Noch ist nicht ganz klar, ob sie missbraucht werden können, um die eingebaute Sandbox des Browsers zu durchbrechen. Sicher ist, dass ein Angreifer sein Opfer auf eine präparierte Webseite locken muss, um die Bugs auszulösen. Auch wenn die Lücken die Sandbox nicht durchbrechen, können sie eventuell mit anderen Lücken kombiniert werden. So könnte ein Angreifer die komplette Kontrolle über das Gerät erhalten.
Details zu den Sicherheitslücken finden sich bei der ZDI:
- ZDI-15-359: Microsoft Internet Explorer CTableLayout::AddRow Out-Of-Bounds Memory Access Vulnerability
- ZDI-15-360: Microsoft Internet Explorer CAttrArray Use-After-Free Remote Code Execution Vulnerability
- ZDI-15-361: Microsoft Internet Explorer CCurrentStyle Use-After-Free Remote Code Execution Vulnerability
- ZDI-15-362: Microsoft Internet Explorer CTreePos Use-After-Free Remote Code Execution Vulnerability
(fab)