Sicherheitsempfehlung: Drive-by-Angriffe auf Internet Explorer
In einer neuen Sicherheitsempfehlung
beschreiben die US-Kollegen eine bisher unbekannte Sicherheitslücke im Internet
Explorer. Drive-by-Angriffe auf die Lücke wurden zwar schon im Internet
beobachtet, allerdings in sehr geringer Zahl. Wie die Kollegen vom MSRC
(Microsoft Security Response Center) in ihrem Blog schreiben, wurde der betreffende Angriffscode nur auf einer einzigen Website
entdeckt. Die Site ist inzwischen nicht mehr aktiv. Wird die Lücke erfolgreich
missbraucht, kann der Angreifer beliebigen Code einschleusen (Remote Code
Execution).
Soviel vorweg: Die aktuelle Beta-Version des Internet
Explorer 9 ist von der Lücke nicht betroffen. De facto ist auch der Internet Explorer 8
von der Heap-Spray-Attacke betroffen. Ein Angriff hätte bei dieser
Browserversion aber keinen Erfolg, da das ab Werk aktivierte DEP (Data
Execution Prevention) den Angriffsvektor auskontert. Somit bleiben der
inzwischen neun Jahre alte Internet Explorer 6 und sein Nachfolger IE7 als
mögliche Ziele der Attacken. Damit wird einmal mehr klar, wie dringend Unternehmen
und Privatanwender zum Internet Explorer 8 wechseln sollten.
Details zu DEP erläutern die Kollegen vom SRD (Security
Research and Defense)-Team in ihrem Blog. Außerdem wird dort erklärt, wie das EMET (Enhanced
Mitigation Experience Toolkit) herangezogen werden kann, um das Risiko zu
verringern.
In der Sicherheitsempfehlung wird auch ein Workaround
beschrieben, wie sich die Gefahr durch die Lücke minimieren lässt. Die
US-Kollegen arbeiten derzeit an einem Fix it, um den Prozess der Absicherung zu
vereinfachen. Mit einem Nofall-Update außer der Reihe (Out of Band) ist nicht
zu rechnen, wie mein Kollege Jerry Bryant der US-Publikation Computerworld bestätigte.
Details zur Attacke haben die Kollegen von Symantec in
ihrem Blog veröffentlich. Sie schreiben dort unter anderem, dass der Link auf die erwähnte,
inzwischen nicht mehr erreichbare Website per Spam-E-Mail versandt wurde.
Comments
Anonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
Offenbar zu früh gefreut: Es scheint, dass der(die Download-Server je nach Lust und Laune oder Uhrzeit unterschiedliche Versionen besagter MSI-Datei (Fix it 50556) ausliefert. Während hier gestern Morgen eine fehlerbereinigte Version der MSI-Datei vom Server gezogen wurde, kommt heute Morgen (und wohl auch schon seit gestern Mittag) wieder die mit dem gemeldeten Fehler in der LaunchCondition auf die Platte. Ob MS dieses Problem denn wohl irgendwann einmal auf die Reihe bringt?Anonymous
January 01, 2003
Hallo Ottmar, der Grund, warum Du von mir zu Dem Thema nichts gehört hast, ist recht einfach: Du hast mir Deine Mail an das MSRC "just FYI" geschickt. Da Du das MSRC schon informiert hattest, gab es für mich keinen Grund, darauf ebenfalls aktiv zu werden. Ich habe Deine Mail genau so genommen, wie Du sie geschrieben hast. Als Information für mich. Wenn es jetzt Probleme bei der Kommunikation mit dem MSRC gibt, helfe ich gern weiter. Da wir eh gerade per Mail Kontakt haben, antworte ich Dir gleich direkt. Kommentare in Foren oder Blogs sind nicht wirklich für eine effiziente Kommunkation geeignet. Viele Grüße, DanielAnonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
The comment has been removedAnonymous
November 15, 2010
Hallo Herr Freudenberger, haben Sie den Fehler schon gemeldet und wenn ja, an wen? Eventuell kann ich meinen US-Kollegen noch einen Tipp geben :) Viele Grüße Michael Kranawetter