Neue Schwachstelle im Internet Explorer

Microsoft hat heute das Security Advisory 2488013 veröffentlicht. Die Sicherheitsempfehlung behandelt eine öffentlich gewordene Schwachstelle in allen derzeit unterstützten Versionen des Internet Explorers (Version 6,7 und 8). Wird die Schwachstelle missbraucht, ist das Ausführen von beliebigem Code aus der Ferne (remote code execution) möglich. Im Advisory werden ein Workaround beschrieben sowie Maßnahmen, um das von der Schwachstelle ausgehende Risiko zu senken.
 
Die Lücke existiert, da nicht initialisierter Speicher während einer CSS-Funktion im Internet Explorer entsteht. Unter bestimmten Umständen kann ein Angreifer dies zur remote code execution ausnutzen, indem er eine speziell modifizierte Webseite vom Browser laden lässt. Dies könnte passieren, wenn der Angreifer das potentielle Opfer beispielsweise über einen per E-Mail verschickten Link zum Besuch der bösartig manipulierten Webseite verleiten kann. Derzeit sind Microsoft aber keine Angriffe bekannt, die die Schwachstelle missbrauchen. In einem Blog-Beitrag beschreiben die US-Kollegen die Details der Lücke und wie sich das Risiko eindämmen lässt. Das Bürger-CERT des BSI hat ebenfalls Informationen parat.
 
Der unter Windows Vista und Windows 7 standardmäßig aktivierte Protected Mode des Internet Explorer 7 und 8 hilft, das von der Sicherheitslücke ausgehende Risiko zu minimieren. Die Schutzmechanismen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) werden vom veröffentlichen Angriff jedoch umgangen.
 
Microsoft untersucht die Schwachstelle derzeit. Nach Ende der Analyse werden geeignete Schritte unternommen. Dazu könnte – abhängig von den Bedürfnissen der Kunden – ein Sicherheitsupdate im Rahmen des monatlichen Updatezyklus gehören, oder auch ein Update außer der Reihe (Out of Band). Bis ein Update bereit steht, sollten IT-Profis und auch Heimanwender die in der Sicherheitsempfehlung genannten Schritte gehen, um das von der Sicherheitslücke ausgehende Risiko zu minimieren.