Thema: Schwachstellen im Microsoft Internet Explorer

[SiLæncer]

Sicherheitsexperten haben eine Zero-Day-Lücke im Internet Explorer entdeckt, die momentan aktiv für gezielte Angriffe ausgenutzt wird. Die Lücke betrifft die Internet-Explorer-Versionen 7 bis 10 unter Windows XP und Windows 7. Zusammen mit einer Lücke in der TIFF-Darstellung von Windows, befinden sich damit momentan zwei Windows-Schwachstellen im Umlauf, die Microsoft bis jetzt nicht geschlossen hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im IE klafft eine kritische Schwachstelle, durch die man seinen Rechner beim Surfen mit Schadcode infizieren kann. Sie wird bereits für gezielte Cyber-Angriffe missbraucht.

Im Internet Explorer klafft eine kritische Sicherheitslücke, die bereits für gezielte Cyber-Attacken missbraucht wird. Konkret haben es die Angreifer derzeit auf den Internet Explorer 10 abgesehen, Berichten zufolge ist zumindest auch der IE 9 anfällig. Entdeckt wurde der Angriff von der Sicherheitsfirma FireEye. Cyber-Kriminelle platzierten den Exploit-Code auf der Webseite der US-Kriegsveteranenorganisation Veterans of Foreign Wars (VFW), vermutlich um gezielt Opfer im militärischen Umfeld zu finden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Microsoft hat ein Fix-It-Tool für die bereits aktiv ausgenutzte Zero-Day-Lücke für Internet Explorer 9 und 10 veröffentlicht. Man arbeite an einem Update und empfiehlt in der Zwischenzeit allen Kunden, das Fix-It-Tool zu nutzen.

Microsoft hat ein Fix-It-Tool für die ungepatchte Zero-Day-Lücke im Internet Explorer herausgebracht. Das Tool schützt Nutzer vor den bisher bekannten Angriffen auf Internet Explorer 9 und 10, schließt aber die eigentliche Lücke nicht. Microsoft sagt nur, dass die HMTL-Renderengine des Browsers mit einem "shim" versehen wird, weitere Details zur Funktion des Workarounds gab die Firma nicht bekannt. Die Use-after-free-Schwachstelle wird momentan für Angriffe auf den Interner Explorer 10 ausgenutzt, indem Schadcode auf gehackten Webseiten platziert wird.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das Sicherheitsunternehmen FireEye hat einen Zero-Day-Exploit gefunden, der alle Internet Explorer seit Version 6 betrifft und bereits angegriffen wird. Microsoft verspricht eine Überprüfung und Abhilfe.

Microsoft hat eine kritische Sicherheitslücke in allen Internet-Explorer-Versionen seit 6 eingeräumt. Damit bestätigte der Konzern einen Bericht des Sicherheitsunernehmens FireEye, das auf den Zero-Day-Exploit aufmerksam gemacht und erklärte hatte, es gebe bereits Angriffe über diese Lücke auf die Internet-Explorer-Versionen 9 bis 11. Über die Schwachstelle könne Code ausgeführt werden ("Remote Code Execution"), wenn der Browser versuche, auf ein Objekt im Speicher zuzugreifen, dass da gar nicht liege. Angreifer könnten das über eine präparierte Website auslösen. Laut Fireeye benötigt der in den aktuellen Angriffen verwendete Exploit Flash, um ASLR auszutricksen. Ist Flash deaktiviert, funktioniert zumindest dieser Angriff nicht mehr.

In seiner Stellungnahme kündigt Microsoft an, die Lücke nun genau untersuchen zu wollen und dann "geeignete Maßnahmen" zu ergreifen. Das könne eine Behebung des Problems im monatlichen Sicherheitsupdate umfassen oder aber ein eigenes Update außer der Reihe, wenn das nötig sei. Um sich schon vorher zu schützen, rät Microsoft, unter "Extras/Internetoptionen" den erweiterten geschützten Modus zu aktivieren: Dazu muss man jeweils bei "64-Bit-Prozesse für erweiterten geschützten Modus aktivieren" und bei "Erweiterten geschützten Modus aktivieren" einen Haken setzen. Das sei allerdings nur im Internet Explorer 10 und 11 möglich.

Quelle : www.heise.de

[SiLæncer]

Eine schwere Lücke in Microsofts Webbrowser Internet Explorer von Version 6 bis 11 wird aktiv ausgenutzt: Microsoft sieht sich zu einen Patch außer der Reihe veranlasst. Auch das eigentlich nicht mehr unterstützte Windows XP wird berücksichtigt.

Eine offene Sicherheitslücke in aktuellen Webbrowser-Versionen sind kein Spaß – schon gar nicht, wenn Zero-Day-Exploits kursieren und die Lücke aktiv ausgenutzt wird. So warnte denn auch das BSI angesichts eines akuten Lecks im Internet Exlorer seit Version 6 vor der Nutzung von Microsofts Webbrowser, ebenso wie das US-CERT. Microsoft sieht sich angesichts dieser Situation veranlasst, einen schnellen Patch außer der normalen Update-Reihe herauszubringen, um das Leck zu schließen. Und das gilt ausnahmsweise auch für Windows XP, obwohl der offizielle Support für das Betriebssystem seit einigen Tagen ausgelaufen ist und Sicherheitslücken bei XP damit normalerweise nicht mehr geschlossen werden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Laut Microsoft zielten über 80 Prozent alle Exploit-Angriffe im vergangenen Jahr auf Java ab. Das liegt vor allem daran, dass veraltete Plug-ins im Einsatz sind. Mit einem Update will Microsoft gegensteuern.

Microsoft will an seinem Patchday am kommenden Dienstag ein Update für den Internet Explorer veröffentlichen, mit dem alte und möglicherweise gefährliche ActiveX-Steuerelemente blockiert werden können. Diese Elemente erfüllen im Internet Explorer die Rolle der Plug-ins und erlauben so zum Beispiel die Ausführung von Java. Werden sie nicht regelmäßig aktualisiert, können sie ein erhebliches Sicherheitsrisiko darstellen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wer unter Windows den Internet Explorer verwendet, sollte sich vielleicht zumindest vorübergehend nach einer Alternative umschauen. Denn eine neue Zero Day-Schwachstelle birgt das Risiko, in den kommenden Tagen mit Exploits ausgenutzt zu werden.

Eine entsprechende Warnung hat das österreichische CERT heute veröffentlicht. Dabei beziehen sich die Sicherheits-Experten auf ein Advisory, das vom Unternehmen Tipping Point bereitgestellt wurde und auf das Problem hinweist. Nach dem aktuellen Stand der Untersuchungen ist der Internet Explorer in den Versionen 8, 9, 10 und 11 von der Sicherheitslücke betroffen.

Die Schwachstelle ermöglicht es Angreifern, Drive-by-Attacken durchzuführen. Es genügt also der Abruf einer manipulierten Webseite, damit Malware ihren Weg auf den Rechner findet. Auf diese werden Anwender in der Regel über Spam-Mails gelockt, es kann aber durchaus auch passieren, dass Kriminelle ihre Schadcodes in eigentlich seriöse Seiten einschleusen.

Durch die Schwachstelle wird das Aufbringen von Schadroutinen möglich, die mit den Rechten des gerade angemeldeten Benutzers agieren können. Dadurch kommt eine Malware zwar nicht allzu tief in das System hinein, wenn der User nicht gerade einen Administrator-Account verwendet, doch das Schadenspotenzial ist auch so groß genug. Denn vor dem persönlichen Daten sind keine weiteren Schranken vorhanden, so dass diese ausgeleitet werden können.

Gegenmaßnahmen einleiten

Aktuell ist noch unklar, wann Microsoft einen Patch bereitstellen kann. Zwar soll am kommenden Patch Day in der nächsten Woche ein Internet Explorer-Update kommen, aber es ist unklar, ob dieses das genannte Problem betrifft. Bis die Lücke behoben ist, rät das CERT zu einem Wechsel auf einen alternativen Browser. Wo dies nicht möglich ist, sollten zumindest die Sicherheits-Einstellungen hochgesetzt und die Ausführung von Skripten unterbunden werden.

Bis jetzt ist noch kein Exploit entdeckt worden, der die Zero Day-Sicherheitslücke ausnutzt. Das sollte den Angaben zufolge aber nicht dazu verleiten, das Problem auf die leichte Schulter zu nehmen. Denn es sei anzunehmen, dass sich nach der nun erfolgten Veröffentlichung diverse Akteure darauf konzentrieren werden, die Schwachstelle im Detail zu finden und für ihre Zwecke auszunutzen.

Quelle : http://winfuture.de/

[SiLæncer]

Sicherheitsexperten haben eine Schwachstelle im Internet Explorer 11 gefunden, über die Angreifer Webseiten so manipulieren können, dass sie den Anwender ausspionieren. Ein Patch lässt noch auf sich warten – andere Web-Browser sind aber nicht anfällig.

Microsofts Internet Explorer 11 weist eine gewichtige Sicherheitslücke auf: Er schottet Webseiten nicht ausreichend gegeneinander ab. Das hat ein Nutzer in einer Security-Mailing-List mitgeteilt. Demzufolge könnten Angreifer Webseiten bauen, die parallel geöffnete Seiten manipulieren, um etwa Nutzerdaten im Zuge des Online-Bankings abzugreifen. Diese Vorgehensweise nennt man Universal Cross-Site-Scripting (UXSS).

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sicherheitsexperten geben Details zu Lücken in Internet Explorer heraus, weil Micosoft die Lücken nicht schließen will.

Im Security Research Blog haben HP-Mitarbeiter entgegen ihrer Gepflogenheiten Details ihrer Forschungen zu Lücken im Internet Explorer veröffentlicht. Die Sicherheitsexperten der HP Zero Day Initiative hatten sich bisher an die Regeln ihres eigenen "vulnerability-disclosure"-Programms gehalten und ihre Forschungsergebnisse zu den IE-Lücken bereits 2014 an Microsoft weitergegeben. Als Annerkennung dafür gabe es die von Microsoft im Rahmen des Programms Mitigation Bypass Bounty ausgelobten 125.000 Dollar. Nach Ablauf der 120 Tage des üblichen Stillhalteabkommens hatte die HP ZDI im Februar 2015 die gefundenen Lücken bekanntgegeben, jedoch ohne Details.

Nun habe ihnen Microsoft mitgeteilt, dass man nicht vorhabe, diese Lücken, die mit dem Fehler in der Address Space Layout Randomization (ASLR) zu tun haben, zu schließen. Die Sicherheitsexperten der ZDI hätten schon einige Erfahrungen damit gesammelt, was passiere, wenn man einem großen Unternehmen mitteilt, dass sein Flaggschiff ein Problem aufweist. Es sei wohl so ähnlich, als wenn man stolzen Eltern sagt, ihr Baby sei hässlich.

Da sie glauben, diese Lücken gefährden das Internet, sehen sie sich gezwungen, an die Öffentlichkeit zu gehen. Microsoft begründe seine Weigerung mit zwei Argumenten: Erstens würden 64-Bit-Versionen des IE durch ASLR gut geschützt und zweitens habe die mit dem Patch MS14 vom Juli 2014 installierte MemoryProtection zu einer signifikant sinkenden Missbrauchsrate beim IE geführt.

Dem halten die Experten der Zero Day Initiative entgegen, dass eben die 32-Bit-Versionen des IE betroffen sei und es von der Millionen von Installationen gäbe. Und so bleibe der Internet Explorer weiter ein bevorzugtes Ziel der Angreifer. Ob nun die genaue Beschreibung der Exploits in einem White Paper Mircrosoft zum Nachbessern bewegt, bleibt abzuwarten.

Quelle : www.heise.de

[SiLæncer]

HPs hatte vor sechs Monaten vier Lücken in der mobilen Version des Internet Explorers an Microsoft gemeldet. Nachdem ein Update immer noch aussteht, wurden nun die Details veröffentlicht. Die Lücken ermöglichen das Ausführen von Schadcode aus der Ferne.

Die zu HP gehörende Zero Day Initiative (ZDI) hat mal wieder offene Lücken in Microsoft-Produkten veröffentlicht, nachdem Microsoft nach sechs Monaten immer noch keinen Patch geliefert hat. Bei den vier Lücken handelt es sich um Bugs in der mobilen Version des Internet Explorers, die missbraucht werden können, um Schadcode auszuführen. Allerdings funktioniert das wohl nur mit den Rechten des Browsers und erlaubt nicht ohne weiteres ein Kapern des gesamten Gerätes.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Microsoft schließt außer der Reihe eine von Google entdeckte kritische Lücke in seinem IE.

Mit einem Notfall-Patch stopft Microsoft ein kritisches Sicherheitsloch im Internet Explorer 7 bis 11, das Angreifer zum Einschleusen von Schadcode nutzen können. Es handelt sich um einen Fehler im Speichermanagement des IE. Gerät man mit dem Browser auf eine speziell präparierte Webseite, wird der Code des Angreifers mit den Rechten des angemeldeten Nutzers ausgeführt und das System kompromittiert.

Entdeckt wurde die Schwachstelle von dem bei Google angestellten Sicherheitsforscher Clément Lecigne. Sie wird bereits aktiv für Online-Angriffe ausgenutzt. Der in Windows 10 integrierte Edge-Browser ist laut Hersteller von der Schwachstelle nicht betroffen.

[Update vom 19. August, 10:50] In der ersten Fassung der Tickermeldung stand, dass Microsoft keine Angaben dazu macht, ob die Lücke bereits ausgenutzt wird. Im Advisory erklärt das Unternehmen jedoch, dass bereits Angriffe bekannt sind.

Quelle : www.heise.de

[SiLæncer]

Ein Update schließt eine kritische Lücke im Internet Explorer – es ist aber noch nicht über Windows Update verfügbar. Auch Windows Defender bekommt einen Patch.

Derzeit haben es Angreifer auf Nutzer mit Windows-Computern abgesehen, die mit dem Internet Explorer surfen. Ist eine Attacke erfolgreich, ist die Ausführung von Schadcode vorstellbar. Ein Sicherheitspatch ist verfügbar, aber noch nicht über Windows Update.

Für einen erfolgreichen Übergriff müssen Angreifer Opfer lediglich auf eine präparierte Website locken. Der Besuch triggert die als "kritisch" eingestufte Schwachstelle (CVE-2019-1367) in der Speicherverwaltung (Scripting Engine), was in einem Speicherfehler resultiert.

Darüber könnten Angreifer eigenen Code auf Computern mit den Rechten des Opfers ausführen. Hat ein Opfer zum Zeitpunkt der Attacke Admin-Rechte, können die Angreifer die volle Kontrolle übernehmen, warnt Microsoft in einem Beitrag.

Update manuell herunterladen

Betroffen davon sind Internet Explorer 9, 10 und 11 unter verschiedenen Windows-Versionen. Zum jetzigen Zeitpunkt ist das Update einen Support-Beitrag von Microsoft zufolge noch nicht über Windows Update verfügbar. Dementsprechend muss man es manuell herunterladen und installieren. Microsoft will das Sicherheitsupdate erst im Oktober zum Patchday über Windows Update verteilen.

Wer den Patch derzeit nicht installieren kann, sollte sein System mit einem Workaround absichern. Wie das funktioniert, erläutert Microsoft am Ende eines Beitrags zur Lücke.

Noch ein Notfallupdate

Auch Windows Defender bekommt einen Patch außer der Reihe. Das Ausnutzen der Sicherheitslücke (CVE-2019-1255) kann den Viren-Scanner in einen DoS-Zustand versetzen. Das Update gilt als "wichtig". Damit eine Attacke klappt, benötigt ein Angreifer bereits Zugriff auf ein System, führt Microsoft in einer Warnmeldung aus.

Quelle : www.heise.de