Deutsch | English

Lücke in Microsoft Internet Explorer

20. Dezember 2012
Update: 22. Dezember 2012

Beschreibung

Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.

Wir erwarten, dass gegebenenfalls entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Update (22.12.2012):
Inzwischen liegt uns eine (leider auf keiner offiziellen Webseite verlinkbare) Stellungnahmen von Microsoft vor: Der Bug ist ein Überlauf der Stack-Größe, nicht aber ein Buffer-Overflow im Stack. Diese Art von Crash eignet sich rein für einen Denial-of-Service, aber nicht für einen remote code execution Exploit.

Wir können daher hier Entwarnung geben, dieser Fehler im IE lässt sich nicht für Einbrüche nutzen.

Auswirkungen

Da der Angreifer - falls ein Ausnutzen der Lücke tatsächlich möglich ist - beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

  • Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7

Abhilfe

Die Faktenlage ist bis dato noch relativ dünn, und Aussagen zur Ausnutzbarkeit der Lücke für praktische Angriffe widersprüchlich. Eine offizielle Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.

Wir empfehlen daher, zumindest bis zur Verfügbarkeit einer offiziellen Empfehlung von Microsoft, nach Möglichkeit auf alternative Browser (zum Beispiel Mozilla Firefox, Google Chrome, Opera) auszuweichen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei Security Focus (englisch)
http://www.securityfocus.com/archive/1/525086/30/0/threaded
Diskussion auf Full Disclosure (Englisch)
http://seclists.org/fulldisclosure/2012/Dec/224
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss