15. Jänner 2010, Updates am 19. und 21. Jänner.
Erneut kritische Sicherheitslücke in
Microsoft Internet Explorer
Potentielle Remote Code Execution - wegen der Dringlichkeit und des
Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:
Beschreibung
Wie
Microsoft berichtet,
gibt es aktuell eine Lücke in allen
aktuellen Internet Explorer - Versionen, mittels welcher Remote
Code Execution möglich ist. Laut anderen Meldungen (zB
bei
Heise Security) wurde diese Lücke bereits für gezielte Attacken
eingesetzt, und es ist durch das allgemeine Bekanntwerden nun damit zu
rechnen, dass breiter angelegte Angriffe bald auftauchen werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
anderen Systeme gefährdet.
Betroffene Systeme
Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.
Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:
- Internet Explorer ab Version 6
Update
Die Versionen 7 und 8 des Microsoft Internet Explorers enthalten zwar auch
den Fehler, dieser gilt aber
wegen
weiterer Schutzmaßnahmen als nicht so leicht ausnutzbar.
Es ist aber zu erwarten, dass bald auch funktionierende Exploits für diese Versionen
geschrieben und publiziert werden.
Laut dem deutschen Bundesamt für Sicherheit in der
Informationstechnik (BSI) sind auch folgende
Windows-Programme potentiell verwundbar,
da sie auf die gleiche Codebasis zum Anzeigen von HTML-Dokumenten zurückgreifen:
- Microsoft Outlook (bis einschließlich Outlook 2003)
- Microsoft Outlook Express
- Microsoft Windows Mail
- Microsoft Windows Live Mail
- Microsoft Hilfesystem
- Microsoft Sidebar
Details stehen in der
technischen Warnung des BSI.
Abhilfe
Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting
für Internet-Zone deaktivieren), da die aktuell bekannten Exploits
JavaScript verwenden. Allerdings werden ohne JavaScript viele Webseiten
nicht mehr wie gewohnt funktionieren. Microsoft empfiehlt auch, für
die Versionen 6 und 7 DEP (Data Execution Prevention) zu aktivieren,
Details siehe Microsoft-Meldung.
Update
In den oben genannten Mailprogrammen sollte für die Anzeige von Mails die
höchsten Sicherheitseinstellungen gelten ("Eingeschränkte Zone", kein HTML).
Details siehe Meldung des BSI.
Microsoft arbeitet mit Hochdruck an einem Out-of-band Bugfix. Wir empfehlen, diesen
möglichst zeitnah einzuspielen, sobald er verfügbar ist.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Meldung von Microsoft (englisch)http://www.microsoft.com/technet/security/advisory/979352.mspxHintergrundinformationen von Microsoft (englisch)http://blogs.technet.com/srd/archive/2010/01/15/assessing-risk-of-ie-0day-vulnerability.aspxTechnische Warnung des BSIhttp://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253dMicrosoft Security Bulletin MS10-002http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx