Angreifer nutzen ungepatchte Internet-Explorer-Lücke aus

[Christoph]

Zitat:

Microsoft will kritische IE-Lücke behelfsmäßig schließen

Microsoft will im Laufe der nächsten Tage ein Fix-it-Tool anbieten, das die kritische Internet-Explorer-Lücke behelfsmäßig abdichten soll, bis ein passender Patch bereitsteht. Dies gab das Unternehmen in seinem Sicherheitsblog bekannt.

Das Tool soll "jeder Internet-Explorer-Nutzer" installieren können und sich nicht weiter auf das Surfen auswirken – beide wichtige Punkte, die die derzeit von Microsoft empfohlenen Workarounds nicht erfüllen. Denn das Abdichten mit dem Admin-Tool EMET, das nur in englischer Sprache angeboten wird, bekommt längst nicht jeder hin. Und das Deaktivieren von Active Scripting führt dazu, dass viele Webseiten nicht mehr vernünftig funktionieren.

Microsoft gibt in seinem Blog an, dass bislang nur "ein paar" Versuche beobachtet wurden, die Schwachstelle auszunutzen und davon nur eine "extrem begrenzte Anzahl von Personen" betroffen seien. Die Tatsache, dass längst ein Modul für das Angriffsframework Metasploit verfügbar ist, mit dem jedermann die Lücke für seine Zwecke ausnutzen kann, erwähnt das Unternehmen indes nicht.

Auch den einfachsten Weg, sich sofort vor Angriffen durch die IE-Lücke zu schützen, verschweigt Microsoft seinen Kunden weiterhin – nämlich den Einsatz eines alternativen Webbrowsers wie Firefox oder Google Chrome. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, den IE zu meiden, bis Microsoft das Problem in den Griff bekommen hat.

Wer sich für die Details der Schwachstelle interessiert, findet eine detaillierte Analyse bei dem Sicherheitsblog Vulnhunt. Es handelt sich demnach um eine sogenannte Use-after-free-Lücke in der Funktion CMshtmlEd::Exec(). Sie führt im Endeffekt dazu, dass der IE beim Aufruf spezieller präparierter Webseiten Schadcode ausführt. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-1710927.html