Lücke im Internet Explorer für Angriffe genutzt

18.09.2013 10:27 Uhr Fabian A. Scherschel

Microsoft warnt vor einem bislang unbekannten Sicherheitsproblem, das alle Versionen des Webbrowsers Internet Explorer betrifft.

Microsoft untersucht momentan eine Sicherheitslücke [1] in allen unterstützten Versionen des Internet Explorers, die es Angreifern erlaubt, beliebigen Schadcode mit den Rechten des IE-Nutzers auszuführen. Laut Microsoft wird die Lücke momentan ausgenutzt, um Internet Explorer 8 und 9 auf Windows XP und 7 anzugreifen. Diese Angriffe finden den Kenntnissen von Microsoft nach aber nur in sehr begrenztem Umfang und sehr gezielt statt. Im TechNet-Portal können Nutzer einen Fix-it-Hotpatch [2] herunterladen, um die Lücke zu schließen. Einen vollen Patch will man am nächsten Patch-Day im Oktober nachliefern.

Der Angriff findet über eine Use-After-Free-Schwachstelle in der HTML-Engine des Browsers statt. Diese nutzt eine Microsoft-Office-DLL zur Darstellung von Hilfe-Seiten, welche ohne Unterstützung für Address Space Layout Randomization (ASLR) kompiliert wurde. Ohne ASLR befinden sich die Bibliotheksfunktionen bei jedem IE-Start an der selben Speicheradresse; der Code lässt sich also zum Erstellen eines Exploits etwa mit Return-Oriented-Programming [3] (ROP) nutzen.

Laut Microsoft sind die Versionen von Internet Explorer auf Server-Betriebssystemen in ihrer Standard-Konfiguration nicht betroffen, da sie Webseiten im geschützten Modus des Browsers anzeigen. Das gilt auch für Outlook, Outlook Express und Live Mail. Allerdings kann ein Angreifer hier Schadcode ausführen, falls er einen Nutzer dazu bringen kann, auf Links zu einer präparierten Webseite zu klicken -- diese wird dann im IE geöffnet. Ein gelungener Angriff ermöglicht es, Code mit den selben Rechten wie der Nutzer des Internet Explorers auszuführen. Falls der Nutzer mit Administratorrechten surft, könnte der Angreifer den Zielrechner wahrscheinlich komplett kapern.

Microsoft arbeitet nach eigenen Angaben noch an einem umfassenden Patch für die Lücke. Ebenso wolle man akute Gefahren im Auge behalten und Schritte gegen Seiten, die Schadcode mit Hilfe der Lücke verteilten, unternehmen. (fab [4])

URL dieses Artikels:
https://www.heise.de/-1960256

Links in diesem Artikel:
[1] http://technet.microsoft.com/en-us/security/advisory/2887505
[2] http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
[3] https://www.heise.de/news/Neue-Exploittechnik-trickst-Speicherschutz-aus-958806.html
[4] mailto:contact@fab.industries