TempestX1
Software-Overclocker(in)
Zero Day Lücke im Internet Explorer führt Code aus (Update: Patch verfügbar)
Microsoft hat eine von der Sicherheitsfirma FireEye gefundene Sicherheitslücke bestätigt.
Die Sicherheitslücke ist bereits seit dem Internet Explorer 6 vorhanden und zieht sich sogar bis in die aktuelle Internet Explorer 11 Version. Zum ausführen der Lücke wird zudem auch Adobe Flash verwendet um ASLR [1] auszutricksen, wobei Flash seit dem Internet Explorer 11 standardmäßig integriert ist.
Durch die Sicherheitslücke ist es präparierten Webseiten möglich, auf den Speicher zuzugreifen und so Code auf dem Rechner auszuführen.
Es wird empfohlen, neben Adobe Flash zu deaktivieren, vorallem nur im "erweiterten geschützen Modus" zu surfen (muss in den Einstellungen aktiviert werden), was allerdings nur mit dem Internet Explorer 10 und 11 funktioniert, da die älteren Versionen diesen Modus nicht anbieten.
Zur Zeit untersucht Microsoft noch die Lücke. Ob es erst zu einem der kommenden Patchdays (einmal im Monat am zweiten Dienstag) einen Patch geben wird, oder ob Microsoft einen Patch außerplanmäßig veröffentlichen wird ist noch nicht bekannt.
Es wurde bereits beobachtet das Angriffe durch diese Lücke, mit den Internet Explorer Versionen 9 bis 11 erfolgreich durchgeführt wurden.
Mehr dazu auf Heise.de [2], der FireEye Webseite [3] mit der genauen Beschreibung zu der Lücke, sowie Golem [4]
[1] ASLR - Wikipedia
[2] Internet Explorer: Microsoft warnt vor Zero-Day-Exploit | heise online
[3] New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
[4] Gezielte Angriffe auf den Internet Explorer - Golem.de
// Edit :
Windows XP sowie Internet Explorer 8 (und älter) Nutzer werden aufgrund des beendeten Supports (wohl) keinen Bugfix mehr erhalten.
// Update :
Das BSI hat am 28. April eine Einschätzung zur Lücke im Internet Explorer herausgegeben und empfiehlt jedem IE Nutzer einen alternativen Browser zu verwenden, bis die Lücke geschlossen ist.
[Q] Einschätzung des BSI zur Sicherheitslücke im Internet Explorer
// Update 2 :
Microsoft hat heute, am 1. Mai das Update unter der Nummer KB2964358 herausgegeben, welches die oben genannte Sicherheitslücke behebt. Jedem PC Nutzer wird empfohlen den Patch so schnell wie Möglich über was Windows Update aufzuspielen. Das Update wurde zudem auch für Windows XP veröffentlicht.
Microsoft hat eine von der Sicherheitsfirma FireEye gefundene Sicherheitslücke bestätigt.
Die Sicherheitslücke ist bereits seit dem Internet Explorer 6 vorhanden und zieht sich sogar bis in die aktuelle Internet Explorer 11 Version. Zum ausführen der Lücke wird zudem auch Adobe Flash verwendet um ASLR [1] auszutricksen, wobei Flash seit dem Internet Explorer 11 standardmäßig integriert ist.
Durch die Sicherheitslücke ist es präparierten Webseiten möglich, auf den Speicher zuzugreifen und so Code auf dem Rechner auszuführen.
Es wird empfohlen, neben Adobe Flash zu deaktivieren, vorallem nur im "erweiterten geschützen Modus" zu surfen (muss in den Einstellungen aktiviert werden), was allerdings nur mit dem Internet Explorer 10 und 11 funktioniert, da die älteren Versionen diesen Modus nicht anbieten.
Zur Zeit untersucht Microsoft noch die Lücke. Ob es erst zu einem der kommenden Patchdays (einmal im Monat am zweiten Dienstag) einen Patch geben wird, oder ob Microsoft einen Patch außerplanmäßig veröffentlichen wird ist noch nicht bekannt.
Es wurde bereits beobachtet das Angriffe durch diese Lücke, mit den Internet Explorer Versionen 9 bis 11 erfolgreich durchgeführt wurden.
Mehr dazu auf Heise.de [2], der FireEye Webseite [3] mit der genauen Beschreibung zu der Lücke, sowie Golem [4]
[1] ASLR - Wikipedia
[2] Internet Explorer: Microsoft warnt vor Zero-Day-Exploit | heise online
[3] New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog
[4] Gezielte Angriffe auf den Internet Explorer - Golem.de
Windows XP sowie Internet Explorer 8 (und älter) Nutzer werden aufgrund des beendeten Supports (wohl) keinen Bugfix mehr erhalten.
// Update :
Das BSI hat am 28. April eine Einschätzung zur Lücke im Internet Explorer herausgegeben und empfiehlt jedem IE Nutzer einen alternativen Browser zu verwenden, bis die Lücke geschlossen ist.
[Q] Einschätzung des BSI zur Sicherheitslücke im Internet Explorer
// Update 2 :
Microsoft hat heute, am 1. Mai das Update unter der Nummer KB2964358 herausgegeben, welches die oben genannte Sicherheitslücke behebt. Jedem PC Nutzer wird empfohlen den Patch so schnell wie Möglich über was Windows Update aufzuspielen. Das Update wurde zudem auch für Windows XP veröffentlicht.
Zuletzt bearbeitet: