Pwn2Own-Wettbewerb: Internet Explorer 9 ist nicht betroffen

Im Rahmen des jährlich von der Zero Day Initative beziehungsweise
deren Mutter (HP Tipping Point) veranstalteten Hacker-Wettbewerbs Pwn2Own
hat der Sicherheitsexperte Stephen Fewer eine Lücke im Internet
Explorer erfolgreich ausgenutzt, um die Windows-Maschine (Windows 7, 64bit,
Service Pack 1) zu übernehmen.

Microsoft-Vertreter waren während des
Wettbewerbs anwesend und konnten schnell ausmachen, dass weder der derzeit
aktuelle Release Candidate des Internet Explorer 9, noch die für den 14. März
erwartete finale Version von den Schwachstellen betroffen sind.

Noch liegen Microsoft keine näheren
Details zur Schwachstelle vor, so dass keine Ratschläge zum Eindämmen des
Risikos gegeben werden können. Nachdem die Schwachstellen aber nicht öffentlich
sind, ist auch nicht mit aktiven Angriffen auf die Lücken zu rechnen.

Wie die US-Nachrichtenseite ZDnet
berichtet, fand Fewer im Vorfeld des Wettbewerbs offenbar zwei
Zero-Day-Exploits im Internet Explorer 8, so dass er seinen Angriffscode
ausführen konnte. Mit Hilfe einer dritten Schwachstelle brach er aus der
Sandbox des Protected Modes von Internet Explorer 8 aus. Es gelang dem Hacker
dabei auch, die Windows-Sicherheitsmechanismen DEP
(Data Execution Prevention) and ASLR (Address Space Layout Randomization) zu
umgehen.

Microsoft wird die in Internet Explorer
9 bereits enthaltenen Verbesserungen auch für die Vorgängerversionen in Form
eines Sicherheitsupdates bereitstellen. Nachdem es nur noch wenige Tage bis zur
Veröffentlichung des IE9 sind, empfiehlt Microsoft allen Anwendern den Umstieg
auf die neue Version des Browsers, um sofort gegen ein eventuelles Risiko
geschützt zu sein.

 Als
Sponsor des Pwn2Own-Wettbewerbs begrüßt Microsoft die Art und Weise, wie die
ZDI mit den entdeckten Lücken umgeht: Alle Informationen über die
Schwachstellen werden nur dem betreffenden Hersteller mitgeteilt, so dass
dieser geeignete Gegenmaßnahmen entwickeln und testen kann.