

Erste Sicherheitslücke im Internet Explorer 9
8. April 2011 um 08:49
Microsofts jüngste Version des Internet Explorers ist noch keinen Monat erhältlich, schon tauchen die ersten zwei Sicherheitslücken auf. In Kombination erlauben die Schwachstellen Angreifern, Code auf Systeme einzuschleusen und diesen auszuführen.
Microsofts jüngste Version des Internet Explorers ist noch keinen Monat erhältlich, schon tauchen die ersten zwei Sicherheitslücken auf. In Kombination erlauben die Schwachstellen Angreifern, Code auf Systeme einzuschleusen und diesen auszuführen. Gemäss den Spezialisten des französischen Sicherheitsspezialisten Vupen sind die Lücken in allen Internet-Explorer-Version von 6 bis 9 vorhanden.
Wie Vupen-Chef Chaoukri Bekra gegenüber der niederländischen Newsseite 'webwerald' sagte, lässt sich mit dem Exploit für die eine Schwachstelle Code in der sogenannten Sandbox des Internet Explorers ausführen. Unter Ausnutzung der zweiten Lücke kann zudem aus der Sandbox ausgebrochen und (Schad-)Code auf dem System ausgeführt werden. Dies sei auch auf Systemen mit Windows 7 und installiertem Service Pack 1 und weiteren Updates möglich, so Bekra. Auch die in Windows eingebauten Sicherheitsmechanismen Data Execution Prevention (DEP) und Adress Space Layout Randomization (ASLR) können den Angriff offenbar nicht verhindern.
Wie genau sich die Lücken ausnutzen lassen, gab Vupen nicht bekannt. Es soll sich aber um einen Fehler in der Programmbibliothek mshtml.dll handeln, der sich durch eine Kombination von HTML- und Javascript-Code auf einer Webseite ausnutzen lässt. (bt)
Loading
Bund will zentrales Tool für das Information Security Management
Zwischen Xplain-Hack und ISG herrscht emsiges Treiben in Bern: 2024 sollen vorerst EFD und VBS ein neues ISMS-Tool für ihre "Kronjuwelen" erhalten.
Meldepflicht für kritische Infrastrukturen ist unter Dach und Fach
Das Parlament hat in seiner Schlussabstimmung die Meldepflicht von Cyberangriffen für Betreiber kritischer Infrastrukturen gutgeheissen. Sie tritt aufs neue Jahr in Kraft.
Podcast: Wird Justitia 4.0 zum neuen EPD?
Der Bund will das Justizwesen digitalisieren, macht aber ähnliche Fehler wie beim E-Patientendossier. In dieser Episode blicken wir auf die Anfänge zurück und erklären, wieso die Arbeit am Projekt schon begann, bevor die Rechtsgrundlage dafür bestand.
Die USA fahren eine neue Cyberstrategie
Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.