• IT-Karriere:
  • Services:

Microsoft: Im Internet Explorer ist eine ungepatchte Lücke

In Microsofts Internet Explorer ist eine gefährliche Sicherheitslücke, für die es noch keinen Patch gibt. Durch diese kann Code auf einer infizierten Webseite ausgeführt und das System kompromittiert werden.

Artikel veröffentlicht am ,
Im Internet Explorer ist eine bislang ungepatchte große Sicherheitslücke
Im Internet Explorer ist eine bislang ungepatchte große Sicherheitslücke (Bild: Microsoft)

Eine im Juni 2014 entdeckte Sicherheitslücke im Internet Explorer wurde jetzt durch die Zero Day Initiative veröffentlicht. Durch sie lässt sich Code von einer infizierten Webseite ausführen. Dadurch könnte ein Angreifer die Rechte über ein System erlangen, die der Benutzer selbst besitzt. Einen Patch von Microsoft gibt es noch nicht, obwohl die Lücke bereits im Juni 2014 gemeldet wurde. Welche Versionen von Microsofts Browser betroffen sind, geht aus der Mitteilung nicht hervor, es ist aber davon auszugehen, dass es sich dabei um alle Versionen handelt.

Stellenmarkt
  1. Savencia Fromage & Dairy Deutschland GmbH, Wiesbaden
  2. DMK E-BUSINESS GmbH, Berlin, Potsdam

Der Angreifer kann über eine Schwachstelle in der Verarbeitung von CElements im Internet Explorer eine Use-After-Free-Schwachstelle ausnutzen, um Code auszuführen. Die Schwachstelle wurde im Juni 2014 von Arthur Gerkis entdeckt und auch an Microsoft gemeldet. Dort wurde der Erhalt des Hinweises zwar bestätigt, einen Patch gibt es aber bislang nicht. Entsprechend der Vereinbarung zur verantwortungsvollen Veröffentlichung (Responsible Disclosure) habe die Zero Day Initiative sechs Monate gewartet, bevor die Schwachstelle veröffentlicht wurde.

Eine hohe Sicherheitsstufe hilft

Anwendern wird geraten, die Sicherheitsstufe der Internet Zone im Internet Explorer auf "hoch" zu setzen, um das Ausführen aktiver Inhalte zu verhindern. Außerdem lässt sich die Sicherheitsstufe so anpassen, dass ein Anwender die Ausführung von aktiven Inhalten wie Skripts oder ActiveX-Controls bestätigen muss. Zusätzlich sollten Anwender das von Microsoft bereitgestellte Enhanced Mitigation Experience Toolkit (EMET) installieren und zur Nutzung mit dem Internet Explorer konfigurieren.

Auf den Server-Versionen von Windows laufe der Internet Explorer standardmäßig mit genügend Einschränkungen, um einen Angriff zu verhindern, heißt es in der Mitteilung der Zero Day Initiative. Auch über HTML-Mails lasse sich die Schwachstelle nicht ausnutzen, da Microsoft Outlook, Microsoft Outlook Express und Windows Mail sie nur im eingeschränkten Modus öffneten. Anwender müssten daher explizit auf eine infizierte Webseite umgeleitet werden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Am Dienstag wird Microsoft bei seinem monatlichen Patchday sieben Patches bereitstellen, darunter einen für den Internet Explorer. Unklar ist, ob damit auch die jetzt veröffentlichte Schwachstelle geschlossen wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Samsung GQ65Q700T 65 Zoll 8K für 1.199€, LG OLED65BX9LB 65 Zoll OLED für 1.555€)
  2. 654€ (mit Rabattcode "PLUSDEALS10" - Bestpreis)
  3. (u. a. Razer Blade Pro 17 (2020) 17,3'' Full HD 300Hz i7 RTX 2080 Super 16GB 512GB SSD Chroma RGB...
  4. (u. a. Lenovo Yoga Slim 7i Evo 14 Zoll i5 8GB 512GB SSD für 799€, Motorola moto g9 plus 128GB...

The_Soap92 10. Dez 2014

Google braucht auch oft Monate bis sie was schliessen. Die Fehler bei Microsoft rühren...

ffx2010 09. Dez 2014

Etwas offtopic: Da hatte Microsoft mit IE9 endlich einen halbwegs standardkonformen und...

SoniX 09. Dez 2014

"Zusätzlich sollten Anwender das von Microsoft bereitgestellte Enhanced Mitigation...

Nullmodem 09. Dez 2014

Ja, ich habe mich auf das Zitat bezogen, was Sie da reingepostet haben. Das klingt...

Anonymer Nutzer 09. Dez 2014

Auch wenn mir persönlich Vollpreislücken lieber sind! ;-)


Folgen Sie uns
       


Serial 1 Rush CTY - Fazit

Keine Harley, sondern ein alltagstaugliches Pedelec: das Serial 1 überzeugt im Test.

Serial 1 Rush CTY - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /