Exploit für ungepatchte Internet-Explorer-Lücke veröffentlicht

[Dynamite]

Für die seit rund zwei Wochen bekannte kritische Lücke im Internet Explorer ist nun ein Exploit im Umlauf. Der Angreifer muss den IE-Nutzer lediglich auf eine speziell präparierte Webseite lotsen, um beliebigen Schadcode auf dem System des Opfers auszuführen.

Die Schwachstelle tritt bei der Auswertung von @import-Regeln in Cascading Style Sheets (CSS) auf. Laut Vupen sind die Internet-Explorer-Versionen 6 bis 8 unter Windows XP bis 7 verwundbar, auch Windows Server. Microsoft hat sich bislang nicht zu dem Problem geäußert. Ob und wann ein Patch kommt, ist derzeit noch unklar. (rei)

Quelle: Heise.de

[Dynamite]

Microsoft warnt vor kritischer IE-Lücke

Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit Kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET abzuhärten. Einen ausführlichen Hintergrundartikel finden Sie hierzu bei heise Security. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.

Laut Microsoft kann der Schadcode unter Windows Vista und 7 nur mit eingeschränkten Rechten wüten, da der IE die Seiten hier standardmäßig im geschützten Modus ausführt. Ansonsten hat der Schädling zunächst die Rechte des angemeldeten Nutzers. Das ist vor allem bei Windows XP ein Problem, da die Anwender hier häufig dauerhaft mit Admin-Rechten angemeldet sind. Unter Windows Server 2003 und 2008 werden Internetseiten in der Standardkonfiguration mit der höchsten Sicherheisstufe geladen, was die Angriffsfläche laut Microsoft zumindest reduzieren soll.

Mailclients wie Outlook, Outlook Express und Windows Mail, die den IE zur Darstellung von HTML-Mails nutzen, verzichten zunächst auf das Ausführen von JavaScript und ActiveX-Controls. Das soll es Angreifern erschweren, Schadcode auf dem System auszuführen. Da man die Lücke jedoch über CSS ausnutzen kann, stellt sich die Frage, ob diese Information die Anwender nicht in falscher Sicherheit wiegt. Auch andere Programme, welche die IE-Komponente nutzen, dürften auf diesem Wege angreifbar sein. (rei)

Quelle: Heise.de