Erste Sicherheitslücke im Internet Explorer 9

8. April 2011, 08:49
  • security
  • cyberangriff
image

Microsofts jüngste Version des Internet Explorers ist noch keinen Monat erhältlich, schon tauchen die ersten zwei Sicherheitslücken auf. In Kombination erlauben die Schwachstellen Angreifern, Code auf Systeme einzuschleusen und diesen auszuführen.

Microsofts jüngste Version des Internet Explorers ist noch keinen Monat erhältlich, schon tauchen die ersten zwei Sicherheitslücken auf. In Kombination erlauben die Schwachstellen Angreifern, Code auf Systeme einzuschleusen und diesen auszuführen. Gemäss den Spezialisten des französischen Sicherheitsspezialisten Vupen sind die Lücken in allen Internet-Explorer-Version von 6 bis 9 vorhanden.
Wie Vupen-Chef Chaoukri Bekra gegenüber der niederländischen Newsseite 'webwerald' sagte, lässt sich mit dem Exploit für die eine Schwachstelle Code in der sogenannten Sandbox des Internet Explorers ausführen. Unter Ausnutzung der zweiten Lücke kann zudem aus der Sandbox ausgebrochen und (Schad-)Code auf dem System ausgeführt werden. Dies sei auch auf Systemen mit Windows 7 und installiertem Service Pack 1 und weiteren Updates möglich, so Bekra. Auch die in Windows eingebauten Sicherheitsmechanismen Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) können den Angriff offenbar nicht verhindern.
Wie genau sich die Lücken ausnutzen lassen, gab Vupen nicht bekannt. Es soll sich aber um einen Fehler in der Programmbibliothek mshtml.dll handeln, der sich durch eine Kombination von HTML- und Javascript-Code auf einer Webseite ausnutzen lässt. (bt)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3